목록Mentoring 🧙 (9)
ilovechoonsik
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
Volatility - Olympic Destroyer
0. 분석에 들어가기 전 Olympic Destroyer란? 올림픽을 방해하기 위한 해커의 사이버 공격으로, 최초 감염 경로는 스피어 피싱 이메일을 통한 감염으로 밝혀졌다. 공격 수단은 파괴형 악성코드로 시스템을 망가뜨려 IT 기반 서비스 가동이나 운영을 방해하려는 의도로 예상된다. 1. 기본 plugin - imageinfo 1. imageinfo profile=Win7SP1x86_234718 2. 프로세스 관련 plugin - pslist, pstree, psscan, psxview (1) pslist OlympicDestory 3528를 PPID로 갖는 하위 프로세스 ocxip.exe 3340 teikv.exe 1640 _xut.exe 2432 전부 의심 추가로 실행되자마자 종료되는 cmd.exe ..
Volatility - Cridex
0. 분석에 들어가기 전 Cridex란? Cridex는 사용자의 금융 기록에 액세스 하기 위해 감염된 시스템의 은행 자격 증명 및 기타 개인 정보를 훔칠 수 있는 정교한 뱅킹 악성 코드입니다. Cridex 트로이 목마는 감염된 컴퓨터의 매핑된 이동식 드라이브에 자신을 복사하여 확산됩니다. Cridex는 감염된 시스템에 백도어 진입점을 생성하여 악성 웹사이트를 여는 것과 같은 작업을 수행할 뿐만 아니라 추가 맬웨어를 다운로드 및 실행할 수 있습니다. 이때 Cridex는 사용자가 금융 웹 사이트를 방문하여 로그인하려고 할 때 감염된 시스템에서 사용자의 은행 자격 증명을 캡처할 수 있습니다. Cridex는 은밀히 사용자를 사기성 금융 사이트 버전으로 리디렉션 하고 입력되는 로그인 자격 증명을 기록합니다. 이 ..