DllShell v1.3 악성코드는 서비스에 붙어서 동작하며, 2688 번 포트를 열고 외부에서 연결되기를 대기한다. 첫번째로 전달된 패킷을 MD5 값으로 변환하여 내부에 있는 hash 값과 동일하면 로그인(?) 된다. 악성코드 주제(?)에 1개의 명령에 부가적인 아규먼트를 원하는데, 이런거 분석하면 답답하다. 마침 악성코드 내부에서 Help 명령어를 지원해서 간단하게 코딩해서 한번 붙여봤다 명령어도 잘 들어간다 굿 더보기 부트킷 자료 https://www.youtube.com/watch?v=jN34P4EdIUw https://www.virusbtn.com/pdf/conference/vb2014/VB2014-RodionovMatrosov.pdf 더보기 요즘 금융정보 탈취형 악성코드 이전까지만 해도 dns 를 열심히 변조하더니 요즘에는 InternetConnectA 와 InternetConnectW 를 인라인 후킹한다. 더보기 이전 1 2 3 4 5 6 7 8 ··· 57 다음