Simple Analysis blog

놀랍게도 올해 초반에 사용중인 PC가 랜섬웨어에 감염된 적이 있었다. 감염 당시 아침에 일어나니 갑자기 감염이되었길래 한숨쉬며 포맷을 시도하였다. 그러다 갑자기 이대로 보낼수는 없겠다는 생각이 들어 다시 취소하며 파일들이 조금이라도 남아있기를 바라며 복구를 취소한 뒤 분석을 시도하였다. 다행히 디스크 모두 포맷이 되지는 않았기에 먼저 PC에 남아있는 이벤트 로그로 감염 원인을 찾아보았다. 이때 분명히 잠들어있는 시간에 누군가 원격 접속기능을 이용하여 PC에 접근한 것을 확인할 수 있었다. 처음 접속된 IP는 213.251.6.6 으로 Shodan에 검색한 결과 영국으로 나와있었다. City : Rugby Country United : Kingdom Organization Interoute : Commun..

가끔씩 VT에 헌팅된 샘플을 살펴보던 도중 Netflix Checker 2018 V0.3 by Castle.zip라는 프로그램이 헌팅되었다. 나또한 아주 잘 이용 중인 플랫폼이지만 처음 보는 파일명이었기에 살펴보니 계정 유출의 2차 피해를 발생시킬 수 있는 도구였다. 프로그램자체로써는 단순히 계정에 접근가능 여부를 체크해주는 도구이지만 이를통해 추가 피해가 발생할 수 있을 것 같았다. 해당 프로그램은 2018년 제작되었으며 파일명이 V.03 인 것으로 보아 주기적으로 업데이트가 되고 있는 것 같기도 하다. 파일 내부에는 "C:\Users\Alpha Crack\Desktop\Netflix Checker alphacrack\Netflix Checker Notificaciones\obj\Debug\Netfli..

"안녕하세요 임수향작가입니다(저작권법관련 안내메일)" 이라는 이름의 이메일 파일이 헌팅되었다.이는 지금까지의 피싱메일과 비슷하게 특정작가의 저작권 관련 사항의 내용이지만 사용된 메일의 경우 고용노동부 사칭에 쓰이는 이메일로 확인되었다.(helpdesk@koreanodong3.com)작가와 고용노동부를 동시에 사칭하려한건가 싶다... 첨부된 파일인 "원본이미지및링크들정리.zip" 에는 3개의 링크파일과 .doc, .jpg 파일로 이루어져 총 6개의 첨부파일이 들어있으며 .doc, .jpg 파일은 숨김처리되어있으며 해당 파일들은 PE구조로 이루어져 있다. 기존의 단순 파일 명을 cmd에 연결시키는 것이 아닌 "hidden cmd /c @start 파일명" 이라는 인자값이 사용된다. 해당 링크파일은 GandC..

내부 코드와 암호화대상 확장자, 제외 폴더, 암호화된 파일명 등 Satan 랜섬웨어와 유사한 Lucky 랜섬웨어가 나타났다. 또한 해당 랜섬웨어는 아래와 같이 10가지 취약점이 사용된다고 나와있었으며, 웜 형태의 랜섬웨어라고 한다. 1) 제이보스 디폴트 설정 취약점(CVE-2010-0738) 2) 톰캣 임의 파일 업로드 취약점(CVE-2017-12615) 3) 웹로직 임의 파일 업로드 취약점(CVE-2018-2894) 4) 웹로직 WLS 요소 취약점(CVE-2017-10271) 5) 윈도우 SMB 원격 코드 실행 취약점(MS17-010) 6) 스프링 데이터 커먼스 원격 코드 실행 취약점(CVE-2018-1273) 7) 아파치 스트러츠 2 원격 코드 실행 취약점(S2-045) 8) 아파치 스트러츠 2 원격..