DFIRCON 2014 : Memory Forensics (Part III) – irykmmww.d1l
세 번째 포스팅이다. 이번 포스팅에서는 악성 바이너리 중 가장 많은 역할을 수행하는 "irykmmww.d1l'을 분석하고자 한다. 이 DLL은 가운데 스펠링을 1로 변경하였으며, svchost.exe와 iexplore.exe에 인젝션되어 있다. 1. 기능 요약 본...
DFIRCON 2014 : Memory Forensics (Part II) - irykmmww.dll
이번 글부터 메모리 분석 과정에서 악성코드로 추정되는 3개의 파일을 분석하기로 한다. Part I에서 여러 개의 바이너리를 덤프했지만 동일한 DLL이 다른 프로세스에 인젝션되어 있었으며, 결국 3개의 악성코드(DLL, D1L, SYS)로 분류된다. 여기에서는...
DFIRCON 2014 : Memory Forensics (Part I)
본 글은 2013년 12월부터 2014년 1월까지 진행한 DFIRCON에 대한 글이다. SANS는 매 년말에 이벤트성 행사를 하는데, 요번에는 SANS의 Simulcast(온라인 강의) 티켓을 한장 걸고 행사를 진행했다. 사실 온라인 대회에 티켓 한...
APT: OSX/Dockster analysis (Part III)
연재: APT: OSX/Dockster analysis (Part I) APT: OSX/Dockster analysis (Part II) 오늘 알아볼 기능은 Dockster의 마지막 기능으로 C2(Command and Control)에 대해 알아보겠다. C2 기능은 메인함수(main)에서 맨 마지막에 호출하는...
APT: OSX/Dockster analysis (Part II)
연재 1. APT: OSX/Dockster analysis (Part I) 저번 발표에 이어서 이번에는 다음 두가지 기능에 대해 알아본다. 최초 실행 시 자동 실행에 등록 'key'를 인자로 줄 경우, 키로깅 기능을 수행 1....