떡잎마을방범대

로드한 프로세스가 notepad.exe 가 아니라면 다른 프로세스 별로 다른 동작을 합니다. 우선 explorer.exe 인 경우, Sub_10052FA 함수를 호출합니다. Sub_10052fA 에서는 우선 필요한 함수 주소들을 로드합니다. 그리고 Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09} 이라는 값을 사용하는데, 이 값은 iFileOperation 의 CLSID 값을 정의한 것으로 해당 값으로 보았을 때 UAC 에서 관리자 권한이 사용되고 있음을 알 수 있습니다. 다음 코드는 sysprep.exe를 이용하여 악성 cryptbase.dll을 로드합니다. UAC 우회기법이 사용되고 있음을 알 수 있습니다. 그리고 다음 svchos..

1. 개요 소위자료(2014.2.25) 수석전문위원소관.hwp 이라는 제목의 한글 악성코드 샘플 분석을 진행하였다. Filename 6dc8ec7ab4a774e6811279135af863da9db94a22.input Size 262KiB (268288 bytes) Description Hangul (Korean) Word Processor File 5.x Architecture WINDOWS SHA256 71abdc099d4cc2848e1eb3dda7f798ae819028052a34bc6a2b47bc3ec4fca59c 다음 악성코드에서 사용된 취약점은 문단의 레이아웃을 담당하는 HWPTAG_PARA _LINE_SEG의 구조체에서 발생하였다. 이 구조체를 개체 컨트롤 구조체로 착각하고 사용하여 흐름을 바꾸..