![]()
주요 내용런타임 메모리 언패킹Amadey의 .text 섹션은 압축·암호화된 채 유포된다. 실행 시 Stub이 VirtualAlloc으로 새 영역을 확보하고 WriteProcessMemory로 복호화된 코드를 올린 뒤, 다시 VirtualProtect로 권한을 제한한다. 평문은 이 순간 메모리에만 존재하므로 정적 탐지가 어렵고, 동적 분석도 타이밍을 놓치면 페이로드를 놓칠 수 있다.페이로드 드롭 흐름복호화 함수가 실행되면2개로 나누어진 .text 섹션의 데이터가 메모리에 평문으로 풀린다.이를 재조합한 PE를 다시 암호화하는데, 이를 C:\Users\{USER_NAME}\AppData\Roaming\C5D2B5804\oneetx.exe 위치에 드롭한다. 분석 선행 과제IoC 추출이나 YARA 작성에 앞서 언..
![]()
Analyzed date : 2022-08-08Ahutor : github.com/miho030개요이번 블로그 글에서는 이전에 작성했던 「악성코드 상세 분석 보고서 (AKDAN-IMG-20220808-002-6af40875)」를 검토하며 이미지(JPEG) 파일 내부에 악성 BotNet 클라이언트(FridayBotRaid)가 은닉된 사례를 분석한 악성코드 분석 보고서를 다룬다. 보고서는 ① JPEG EoF(0xFFD9) 뒤에 PE 실행 파일을 덧붙여 만든 폴리글롯 구조와, ② EXIF 메타데이터를 모두 제거한 무-메타(Wipe) 패턴을 통해 우회·은닉 효과를 극대화한 점을 핵심으로 삼으며, JPEG 악성파일의 종류(폴리글롯 or 스테가노그라피)를 파악하는데 중점을 두고 있다. 보고서는 정적/동적 분석 결과..
