xenen 님의 블로그

1. 개요게임 핵이 실행되면 %temp% 디렉터리에 dll 파일이 생성되고 rundll32에 의해 실행됩니다. 생성된 파일의 분석 의뢰를 받았습니다. 1.1. 분석 환경운영 체제Windows 10 64bit분석 도구x64dbg,IDA Pro,Process Explorer 1.2. 파일 정보구분내용파일 명Top_dump_2.dll파일 크기148,480 바이트해쉬(MD5)EBDE50177EED2CE16ABCA1C861AF9951진단명Remote Access Trojans, RAT악성 동작l  C2 서버 연결l  드라이브 정보 수집l  화면 정보 수집l  캠 정보 수집l  오디오 정보 수집l  프로세스 정보 수집l  명령어 수행 및 결과 값 정보 수집l  시스템 종료 권한 설정l  파일 드랍l  이벤트 로그 ..

1. 개요Cython으로 작성된 악성코드를 운 좋게 수집했습니다. 분석해보겠습니다~! 1.1. Cython이란?CPython 확장 모듈을 손쉽게 생성하도록 고안된 컴파일 언어입니다. 파이썬 문법을 기반으로 C/C++ 루틴 호출을 위한 외부 함수 인터페이스와 실행 속도 향상을 위한 정적형 지정 등이 추가된 형태를 하고 있습니다.출처 : 위키백과 - Cython 2. 악성코드 정보MD52672083D2050BD3AF383DECC32A7666BFileName3444.exeC2154.38.109.230 (Hong Kong) 3. 악성코드 흐름도먼저 악성코드의 흐름은 아래 그림과 같습니다.먼저, Cython을 로드해 정보 수집 등의 악성행위를 수행하고, 수집한 데이터를 암호화해 공격자의 C2서버로 전송합니다.  ..