악성코드
피싱 사이트1. SMS를 통해 피싱 사이트에 대한 단축 URL 유포: hxxps://yoro[.]cc/dNNm42. 리다이렉션 진행: hxxps://name[.]n-paypac[.]shop(104[.]21[.]17[.]167)3. 사용자의 주소확인 버튼 클릭 시, [100~200]live.apk 다운로드: hxxps://name[.]n-paypac[.]shop/download * PC 버전으로 피싱 사이트 접속 시, 정상 사이트인 hxxps://www[.]itscard[.]co[.]kr로 리다이렉션 악성코드 정보[100~200]live.apk(원본 악성코드) SHA-256: fe04c00cbc0d1184f55b220c3a66f71e2e34a990a9a256e9441b5453b2fa9b22/assets/l..
복호화 스크립트import structdef sub_40E716(a1: list[int]) -> str: result = "" a1_bytes = struct.pack(f" str: result = "" a1_bytes = struct.pack(f"분석 대상 ROKRAT SHA-256: bb83597cdf057db754def79d3f94b6cf8837b358178e10e4cc792da56a7523b3
문제 발생악성코드를 분석하던 중, KUSER_SHARED_DATA.NtBuildNumber를 참조하여 동작 환경의 빌드 넘버를 비교해 분기를 진행하는 루틴에 대한 분석 시, IDA Pro에서 해당 구조체의 멤버를 해석하지 못해 MEMORY[0x7FFE0260]과 같이 표현되는 경우가 발생하였다.KUSER_SHARED_DATA 구조체 매핑 진행1. Type Libaray 로드Views → Open subviews → Type Libraries(Shift + F11)에서 우클릭 후, Load type library...(Ins)클릭ntddk 검색 후, 동작 환경에 맞게 선택2. 구조체 생성Views → Open subviews → Structres(Shift + F9)에서 우클릭 후, Add struct t..
