Malware
VirusTotal Intelligence について掘り下げた内容の本を技術書典8に向けて執筆しました。現在 BOOTH にて販売しておりますので、ぜひご確認ください。 malrina.booth.pm ※ 少し詳しく書いた記事を以下に公開しています(↑の本はさらに加筆した内容となってい…
Panda Banker 解析 (1) - 解析メモ ... 軽く動作確認 Panda Banker 解析 (2) - 解析メモ ... UnhandledExceptionFilter による耐解析機能 Panda Banker 解析 (3) - 解析メモ ... アンパック Panda Banker 解析 (4) - 解析メモ ... Extended Attribute (EA) …
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ Panda Banker 解析 (4) - 解析メモ EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。 IDA Pro でインポー…
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ 監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。 前回は Majuro.exe が実行されたところで止めていたが、少し泳が…
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。 プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。 自プロセス→…
blog.minerva-labs.com 今日はこの検体。 検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。 WMI64.ps1 Neutrino.ps1 それぞれデコードしてみたら意外と長くなった。 デコードはスクリプトの最後の …
昨日(Panda Banker 解析 (1) - 解析メモ)の続き。 Access Violation が出るところが気になる。 赤枠の部分はわざと Exception を起こしているように見える。 xor edx, edx で edx を 0 にしているのに mov ax, [edx] で 参照できなくなった edx を参照して…
www.arbornetworks.com ここで紹介されている検体の解析。 多分 Zeros は Zeus の誤記。 SHA256 : 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7 環境:VirtualBox 5.2.8 ゲスト : Windows 7 x64 Pro