분류 전체보기 (132) 썸네일형 리스트형 ATLauncher.exe 설치 건 탐지 분석 (오탐) 파일의 비정상성: dnSpy로 확인한 헤더 정보(2018년 작성)와 디지털 서명 시간(2021년)이 일치하지 않음 평판: VirusTotal에서 34개의 보안 솔루션이 악성으로 진단하고 있으며, 이는 오탐(False Positive)으로 보기 어려운 높은 수치 advfirewall firewall add rule program="C:\SoftBridge\Flint.exe" name="Anchortools Flint" dir=in action=allow netsh: Windows 네트워크 구성 및 방화벽 설정을 명령줄에서 변경하는 도구advfirewall firewall add rule: 방화벽에 새로운 규칙을 추가하겠다는 명령어program="C:\SoftBridge\Flint.exe": 특정 프로그램.. 블루투스 드라이버 설치 건 탐지 분석 (정상) iptime 공식 자료실 서버를 통한 유입으로, 사용자가 직접 사이트에 접속하여 클릭한 결과 [ 외부 파일 유입 ]chrome.exe를 통해 contents.iptime.co.kr에서 드라이버 압축 파일(5.3 RTBlueR...zip) 다운로드 신버전의 블루투스 드라이버를 설치하려고 했음을 알 수 있음사진에서 보이듯 Realtek Semiconductor Corp.의 유효한 디지털 서명이 확인이는 파일이 변조되지 않았으며 신뢰할 수 있는 제조사에서 배포했음을 보증함 기존 설치 버전: 1038.1040.1040.211020새로 받은 버전: 1051.1038.1040.33693 InstallShield Wizard가 실행되었으며, "시스템에 블루투스가 활성화되었는지 확인하십시오"라는 팝업 존재 확인악성.. LaunchAclWait.exe (eBook) 탐지 분석 (정상) APT 탐지 건 : LaunchAclWait.exe 진단명 : PUP/AI.MultiPlug.M.Z8402197184328 명령행 -on "HKLMSOFTWAREFasso DRM" -ot reg -rec yes -actn ace -ace "n:S-1-5-32-545;s:y;p:full" 해당 명령행과 탐지된 IP를 조회 및 사용자 PC에 깔려있는 소프트웨어 조회를 해본 결과LaunchAclWait.exe는 교보eBook이 콘텐츠를 보호하기 위해 사용하는 파수 DRM의 핵심 설치/관리 모듈임을 확인[참조]전자도서관 솔루션(교보문고, 예스24 등)은도서 콘텐츠의 무단 복제를 막기 위해 Fasoo DRM을 보안 엔진으로 채택 [결론]악성 행위 존재 X 교보eBook(버전 2.7.0.4)이 2026-04-2.. 피싱 메일 유입 분석 (악성) [ 1 ]해당 메일의 URL로 접속한 내용 Burp Suite 로 C2 통신 이력과 데이터 평문 전송 확인 1) HTTPS(TLS)를 사용하더라도 애플리케이션 레벨에서 평문 데이터가 그대로 노출되는 것은전형적인 허술한 피싱 사이트의 특징임2) 해당 엔드포인트(pno.php)는 단순히 입력값을 텍스트 파일이나 데이터베이스에 저장하는 구조일 확률이 높음 패킷 헤더에 Sec-Fetch-Mode: cors와 Origin이 찍혀 있는 것으로 보아,공격자가 설정한 다른 호스트(awsapprunner.com 등)에서 이 도메인으로 데이터를 넘기고 있음.이는 공격자가 여러 개의 서버 인스턴스를 분산해서 사용하고 있음을 암시함 [ 2 ] 1) 하지만 탐지 이력중 하위도메인인 /new/로 들어가는 경우 위와 같은 에러 .. PDF 악성으로 탐지 건 분석 (정상 파일) 해당 PDF를 다운받은 사용자는 기업분석팀의 의료/바이오 쪽의 직원 APT 보안 장비에서는 해당 PDF를 멀웨어 및 Dropper 형식의 악성 JS스크립트가 포함된 PDF 문서라고 판별함VirusTotal에 MD5 와 SHA256 해시값을 대조했을 때 벤더사에서 악성으로 등록해놓은 기업 없음즉 평판조회에서는 악성 판별 어려움 브라우저를 켜고 F12(개발자 도구) 를 이용하여 분석할 파일을 브라우저 창으로 드래그 앤 드롭한 후소스 코드나 텍스트 모드로 내용을 훑어보며 /JS, /JavaScript, /OpenAction 같은 단어가 포함되어 있는지 Ctrl + F로 검색해보았을 때도 별다른 이상 구문이 존재하지 않음 Notepad로 파일을 열어서 텍스트 검색을 해보았을 때도 /JS, /URL 등 악성구문.. AdobeGenuineInstaller.exe ( 정상파일 ) 분석 AdobeGenuineInstaller.exe라는 이름으로 보안 장비 (APT)에 탐지된 건 파일 설명(Adobe GC Core Installer)과 제품 이름(GC Core Installer)이Adobe의 정품 인증 핵심 모듈(Genuine Check)임을 명시 바이너리 분석 결과, Adobe 사의 정품 확인 서비스 모듈임이 명시되어 있으며버전 체계(8.4.0.76)가 공식 배포 버전과 일치 서명자(Adobe Inc.)가 명확하며, 디지털 서명이 유효함을 확인1. 유효한 디지털 서명을 통해 파일의 무결성과 공급처가 검증2. 공격자에 의한 파일 변조나 사칭의 흔적이 발견되지 않음파일이 컴파일된 시간(TimeDateStamp)이 기록되어있음PE 헤더 분석 결과, 컴파일 타임스탬프가 정상적인 제품 업데이트.. 한컴오피스 Installer ( 악성파일 ) 분석 파일명: Install.exe, setup.exe (동반된 InstallerConfig.ini) 유형: 트로이목마 (Downloader/Backdoor)특징: 정상적인 한컴오피스 패키지에 악성 루틴이 담긴 구성 파일을 삽입하여, 설치 과정 중 백신 무력화 및 파워쉘 스크립트를 통한 추가 공격 수행. 정교한 UI 구현 설치창 디자인이 실제 한컴오피스 2024의 인터페이스와 동일일반 사용자가 실행 화면만 봐서는 의심하기 어려움 실제 로직의 포함 x32dbg 분석 결과, HncUpdateService.exe를 종료하거나 SOFTWARE\HNC 레지스트리 경로를 참조하는 등, 실제 한컴 설치 프로그램이 수행해야 할 정상적인 작업들이 코드 내에 그대로 존재 컴파일 정보의 일치 dnSpy(PE 헤더) 분석 시,.. DaVuIndy.exe ( 정상파일 ) 분석 메타데이터 및 리소스 일관성분석 내용: 파일 상세 정보 내의 제품 이름(DaVuIndy), 저작권(HumanTalk.corp), 버전(9.24.0.0) 정보가 PE 헤더의 리소스 주소(000D7000) 및 크기(0001134C) 영역과 논리적으로 일치리소스 무결성: 약 70KB의 리소스 영역 내에 프로그램 아이콘과 버전 정보가 깨짐 없이 구조화되어 박혀 있어, 악성 코드 삽입으로 인한 리소스 파손 징후 없음API 호출 및 문자열 투명성분석 내용: x32dbg로 문자열을 검색한 결과, 설치 프로그램에서 필수로 사용하는 안내 문구(L"Please specify the password...")와 라이선스 체크 관련 로직(L"AllowDevelopmentWithoutDevLicense")이 평문으로 확인투명성:.. 이전 1 2 3 4 ··· 17 다음
