![]()
Analyzed date : 2022-08-08Ahutor : github.com/miho030개요이번 블로그 글에서는 이전에 작성했던 「악성코드 상세 분석 보고서 (AKDAN-IMG-20220808-002-6af40875)」를 검토하며 이미지(JPEG) 파일 내부에 악성 BotNet 클라이언트(FridayBotRaid)가 은닉된 사례를 분석한 악성코드 분석 보고서를 다룬다. 보고서는 ① JPEG EoF(0xFFD9) 뒤에 PE 실행 파일을 덧붙여 만든 폴리글롯 구조와, ② EXIF 메타데이터를 모두 제거한 무-메타(Wipe) 패턴을 통해 우회·은닉 효과를 극대화한 점을 핵심으로 삼으며, JPEG 악성파일의 종류(폴리글롯 or 스테가노그라피)를 파악하는데 중점을 두고 있다. 보고서는 정적/동적 분석 결과..
![]()
de4dot은 .NET 실행 파일에 적용된 Obfuscation을 자동으로 해제해주는 오픈소스 도구이다. ConfuserEx, .NET Reactor 등 다양한 난독화 도구로 보호된 코드를 분석자가 읽기 쉬운 형태로 복원할 수 있도록 지원한다. 주로 dnSpy, ILSpy 등의 디컴파일러와 함께 사용되어 악성코드 분석이나 리버스 엔지니어링에 활용된다. For Linux아래와 같은 명령을 통해 간단하게 설치할 수 있다.sudo apt-get install mono-complete de4dot -y 아래와 같이 사용할 수 있다.de4dot sample.exe -p sa # 스마트스캔 기능 활용하여 복호화 진행de4dot -r ./ -ro ./sample malwares #-r 옵션은 하위 디렉터리까지..
![]()
dnSpy란?dnSpy는 .NET 기반 실행 파일을 디컴파일하고 수정할 수 있는 C#전용 리버스 엔지니어링 도구이다. 주로 악성코드 분석이나 프로그램 내부 로직 확인, 디버깅 용도로 사용되며, 원본 C# 코드에 가까운 수준으로 복원된 소스코드를 바로 확인하고 편집할 수 있다. dnSpy 다운로드 및 설치아래 github repo의 release 탭에서 설치 파일을 다운로드 받을 수 있다.https://github.com/dnSpy/dnSpy GitHub - dnSpy/dnSpy: .NET debugger and assembly editor.NET debugger and assembly editor. Contribute to dnSpy/dnSpy development by creating an accoun..
![]()
개요최근에 BPF 악성코드 등 다양한 유형의 리눅스 기반 악성 파일들이 기승이다.https://www.boannews.com/media/view.asp?idx=137372 국내 보안체계 뒤흔든 ‘BPF도어’, 공략 나선 피앤피시큐어피앤피시큐어(대표 박천오)는 23일 BPF도어를 분석해 서버 침입 방식을 중심으로 공격을 방지할 ‘피앤피시큐어 네트워크 해킹 위협행위 탐지’(PNPSECURE Sever Threat Detector) 도구를 무료로 공개했다www.boannews.com예전에 BoB 활동 중 Mirai 악성코드를 조사하고 분석한 경험이 있었는데, 예상보다 흥미로웠다. Windows 악성코드와 유사한 기능을 수행하지만 작동 방식과 실행 구조는 매우 달랐기 때문이다. 리눅스에 관심이 많아 관련 경험은..
Analyzed date : 2022-07-29fixed date : 2025-05-27Ahutor : github.com/miho0301. 개요공격자는 웹 서버의 취약점을 이용하여 PHP 파일에 악성 코드를 삽입하고, EXIF 메타데이터에 인코딩된 악성 명령을 포함한 이미지 파일을 업로드함으로써 원격 명령 실행(RCE)을 수행할 수 있는 WebShell을 구축한다. 이러한 방식은 이미지 파일의 정상적인 외형을 유지하면서도 서버 측에서 악성 코드를 실행할 수 있어 탐지가 어렵다.TAG : webshell, backdoor, Jpeg, php2. 주요 내용해당 분석에서는 JPEG 형식의 이미지 파일에 은닉된 악성 WebShell 명령문을 중심으로 정적 분석과 동적 분석 기법을 활용하여 악성 행위를 추적하였..
