- 전체보기(26)
- 사이버일일동향(6)
- 랜섬웨어(4)
- 북한(3)
- leakage(2)
- 러시아(2)
- REvil(2)
- Sodinokibi(2)
- SonicWall(1)
- 해킹기법(1)
- The Hacker News(1)
- hackread(1)
- 우크라이나전쟁(1)
- PowerShell(1)
- 해킹사례(1)
- Mandient(1)
- SBU(1)
- 봇넷(1)
- JavaScript(1)
- vpn(1)
- 이란(1)
- 백도어(1)
- 해킹조직(1)
- spyware(1)
- 페가수스(1)
- Delphi(1)
- window(1)
- BlueCrab(1)
- 공급망보안(1)
- 트위터(1)
- DDoSecrets(1)
- NSO(1)
- Kimsuky(1)
- Cellebrite(1)
- 알바니아(1)
- 버그(1)
- slack(1)
- 캠페인(1)
SMB Admin Share를 활용한 내부망 이동 전략분석
고통의 피라미드스크린샷 2022-08-15 오후 1.45.04.png(%E1%84%8E%E1%85%A5%E1%86%B7%E1%84%87%E1%85%AE%E1%84%91%E1%85%A1%E1%84%8B%E1%85%B5%E1%86%AFTTPsTTP(Tacti
드웰 타임
dwell time 방어자가 공격을 인지하기까지 공격자가 기업 인프라에 존재한 시간 Mandiant의 "M-Trends 2022" 보고서에 의하면, 아태지역 비랜섬웨어 사고의 드웰 타임 20% 이상이 700일을 초과한다고한다
윈도우 계정 비밀번호 변경
BIOS모드로 켠다음 Shift + F10 https://mc-storage.tistory.com/67repair모드로 켠다음 복구 파일 찾는 파일탐색기에서 Utilman.exe cmd.exe로 바꿔치기https://gall.dcinside.com/
바륨(BARIUM) APT
공격대상: 세계 각국의 게임 및 소프트웨어 개발사 winnti, PlugX 등의 악성코드를 사용하여 주로 공급망 공격을 수행하는 공격 조직!
Kimsuky, 원자력연구원 VPN 해킹
2021년 7월, 한국원자력연구원이 Kimsuky에 의해 12일 동안 해킹당함.국정원이 패스워드 변경 권고했으나 미이행.VPN 기록에 신원미상 외부IP 13개 발견.VPN, 메일서버, KMS도 피해를 당함.!업로드중..대만 인텔리전스 업체 팀티파이브는 해킹 조직 '김수
Process Hollowing
대상 프로세스의 이미지를 언매핑하고 자신의 이미지를 매핑하는 기술aka. PE 이미지 스위칭(PE Image Switching)정상적인 프로세스를 생성하고 해당 프로세스에 악성PE 데이터를 삽입하여 실행.SUSPEND 모드로 정상적인 프로세스를 생성(작업 관리자나 프로
DLL Injection
다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술이다BlueCrabMS 정상 파일(msmpeng.exe)와 BlueCrab기능의 dll(mpsvc.dll)을 같은 경로에 생성한다. msmpeng.exe의 실행 시 mpsvc.dll의
Delphi Loader의 변형
Delphi Loader는 BlueCrab 랜섬웨어를 로드하는 역할을 한다. 해당 단계에서 특정 AV 제품 무력화, 진단 우회 등의 변형이 발생하였다. 원활한 감염을 위해 관리자 권한을 얻어오며, UAC 메시지에 “예”를 누를 때까지 100회 반복하여 출력한다. 이후
PowerShell로부터 실행되는 .NET Injector의 변형
기존에는 다음과 같이 Delphi Loader 바이너리를 Base64 인코딩 후 거꾸로 뒤집은 값으로 저장했으나 2020년 10월 12일 확인된 변형에서는 단순 치환 방식을 사용하여 저장한다. “1000” 값을 “!@.NET Injector가 인젝션하는 Delphi L
PowerShell 실행 방식의 변형
문법이 비교적 자유로운 PowerShell 언어 특성을 활용하여 다양하게 변형가능기존에는 wscript.exe(JavaScript)가 PowerShell 스크립트를 파일로 드롭 후 해당 파일을 실행했다. 2020년 10월 12일 확인된 변형에서는 더 이상 스크립트를 파
JS 파일의 변형
기존에는 동일한 코드 구조를 유지하며 매 다운로드마다 변수명, 함수명을 랜덤하게 변경하였다. 하지만 12월 15일부터는 매 다운로드마다 각행의 순서를 랜덤하게 섞는 기능이 추가되었고, 이러한 기능을 구현하기 위해 전체적인 코드 구조가 크게 달라졌다. 랜덤하게 행을 배열
VSA를 이용해 BlueCrab 퍼뜨린 REvil
기존에는 불특정 다수를 대상으로 랜섬웨어 공격(웹에 악성코드 업로드 방식)이번에는 "VSA"를 타겟으로 했다는 차이점 있음.COOP, 800점포 영업중지여기 참고프로세스 메모리 검사 필요파일 진단이 아닌 행위 기반 / 메모리 진단필요REvil은 AS의 진단 방법을 정확
SEO Poisoning
웹 게시글에 인간은 이해할 수 없는 문장이지만 검색 엔진은 이 내용을 잘못 판단하여 검색 결과 상위에 노출시키게 하는 기법.검색 엔진이 검색 결과 뿌려줄때 게시글 내용을 읽어오는 interacting을 해야하기 때문에 이때 검색한 내용을 읽어서 그 단어가 들어간 문장을
REvil
랜섬웨어 배포불특정다수의 일반 사용자를 대상으로 구글, MS Bing 검색 사이트를 통해 자바스크립트 형태로 유포미국 IT 관리용 솔루션 제공업체 Kaseya의 IT 관리용 플랫폼 제품인 VSA가 랜섬웨어 유포 경로로 악용타겟 공격 형태로 유포
페가수스, 전세계 주요 인사를 표적으로 도청하는 데 사용
NSO에서 판매하는 스파이웨어안드로이드 뿐만 아니라 아이폰도 포함.제로클릭으로 감염가능정부, 정보기관 대상으로만 판매 (for against 테러리스트, cyber threat) <-> but, 인권운동가, 언론인 도청에 사용한 정황 사례있음NSO가 과연 적법