Bazinga!

기사 출처 : https://www.boannews.com/media/view.asp?idx=131426&kind=# 북한 해커들, 업그레이드 된 비버테일 멀웨어 퍼트리고 있어보안 외신 해커뉴스에 의하면 북한의 해커들이 자신들이 개발한 멀웨어인 비버테일(BeaverTail)을 업그레이드 했다고 한다. 미로토크(MiroTalk.dmg)라는 이름의 맥OS용 파일 형태로 유포되고 있는데,www.boannews.com 요약북한의 해커들이 자신들이 개발한 멀웨어인 비버테일(BeaverTail)을 업그레이드했다.북한 해커들은 최근 맥OS를 겨냥한 공격 수위를 바짝 높이는 중이다.구인과 구직을 테마로 메시지, 문자를 통해 피해자들을 속인다고 한다. 추가 이비버테일(BeaverTail)은 미로토크(MiroTalk.dm..

8211번 서버로 문을 열고 대기  대기하고있따가 연결되면 accept하고 연결 수행되면 서버는 recv(클라이언트가 데이터 보내는거 대기) &burf를 서버로 보낸다 이걸 역순으로 해보면----

----CreateToolhelp32Snapshot 스냅샷 = 현재 상태를 저장 현재 시스템내에서 실행중인 전체 프로세스의 상태를 스냅샷-Process32First여기서 pe는 구조체 - Process32Next ( 원하는 프로세스 찾는다.) ---openprocess api handle을 가져오기 위해 openprocess (process injection에서 많이 쓰임/ 의심을 피하기위해 기생할때 이 api를 이용해 권한을 가졍온 다음에 타겟 프로세스에 공간을 할당하는 api를 이용해 악용)프로세스에 대한 접근 권한을 얻기 위해 프로세스 고유의 값(processId)을 지정해줘야함. ----terminateProcess 프로세스 죽이기---closeHandle ----이거 뭐하는 프로그램이야? 찾는 ..

IDA training 1 어디서 사용하는지 알아보기(주소가 서로 맞지 않아 찾기 힘들다면 api 이름, 문자열 등을통해 찾으면 된다.)> null일 경우 자기자신이 0 들어감.> 현재 실행중인 경로를 준다. dbg에서 [ebp-208] 0018FD40 -----gettemppathA 임시 경로의 위치를 buffer에 저장 -----pathappendA buffer곳에 "mal_edu" 를 합친다 ----CreateDirectoryA디렉토리를 만들어라 ----PathAppendA 그 디렉토리에 "malicious_sample.exe"파일명을 합쳐라 -----CopyFileA ----shellexecuteA ----DeleteFileA ---메인도 하나의 함수 api도함수 함수는 인자를 받는다. 메인함수도..