[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드 참조> https://jeongzzang.com/141> https://asec.ahnlab.com/1351> https://www.hauri.co.kr/security/issue_view.html?intSeq=405&page=1> https://www.virustotal.com/gui/file/88bd2a65da1bea7e7815fb9cab600c87e69b0bd8f3770b68a3b74b51a2d9eb2b/detection 영화 '결백'으로 위장한 백도어형 악성코드(Innocence Bot) 토렌트를 통해 유포되는 것을 확인할 수 있다. 위 참조 블로그를 통해 분석을 하였다.아이비코리아 토렌트큐큐에서 영화 검색시 해당 파일..
[Reversing] Process Hollowing 기법 프로레스 할로잉 기법은 자식 프로세스를 이용하여 프로세스 자체를 인젝션하는 것으로 간략하게 말하자면 절차는 자식 프로레스를 서스펜드 상태로 만든 뒤 기존 악성 프로세스의 정보를 얻어 자식 프로세스의 각 위치에 매핑을 한다. 이후 메모리를 할당과 악성 데이터를 삽입한 후 서스펜드 상태를 풀어주게 되면 악성 행위를 하게된다.. source code> https://github.com/theevilbit/injection/tree/master/ProcessHollowing 프로세스 생성(SUSPENDED) BOOL CreateProcessA( LPCSTR lpApplicationName, LPSTR lpCommandLine, LPSECURITY_ATT..
- Total
- Today