| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 인공지능
- BOJ
- 딥러닝파이썬
- 소프트맥스함수
- 백준
- FTZlevel10
- 보안
- 정보보안
- 신경망 학습
- c언어
- C알고리즘
- 달고나bof
- 파이썬
- BOF
- C언어알고리즘
- 8086CPU레지스터
- 신경망구현
- 알고리즘
- C언어 알고리즘
- 백준알고리즘
- 버퍼오버플로우
- 신경망파이썬
- 머신러닝
- 스트림암호
- 항등함수
- 신경망
- 밑바닥부터시작하는딥러닝
- 파이썬신경망
- 딥러닝
- 활성화함수파이썬
- Today
- Total
HeeJ's
[01] Hancitor 맬웨어 패킷 분석을 위한 사전 공부 본문
Channitor라고도 불리는 Hancitor는 MAN1, Moskalzapoe 또는 TA511을 가리키는 위협 요인을 사용한 멜웨어이다.
윈도우 호스트를 타겟으로 공격하고, 추가적인 멜웨어를 전송하는 중요한 접근을 설립한다.
Hancitor Malware
공격 벡터 중 하나로, 피해자로부터 데이터를 훔치기 위해 맬웨어를 전달한다.
이는 흔하게 사용되지 않는 API 남용 및 PowerShell 메소드를 포함한다.
Hancitor는 이메일을 통해 분산된다.
이메일에는 docs.google.com과 같은 구글 드라이브 URL을 HTTPS 링크로 포함한다.
HTTPS로 접속할 때는 TCP Three-way handshake와 별도로 TLS handshake 과정을 거친다.
TLS handshake에 대한 설명
TLS handshake 과정에서는 서버와 클라이언트 인증서를 검증하고, 클라이언트 키를 교환한다.
본격적으로 데이터를 교환하기 전, 클라이언트와 서버는 'Client Hello', 'Server Hello', 'Certificate', 'Hello Done'의 메시지를 주고 받는다.
* Client Hello
- 클라이언트 -> 서버
- 메시지는 버전, Nonce, 세션 ID, Cipher Suitues, Compression Methods 등의 정보를 포함
* Server Hello
- Client Hello 메시지를 받은 서버도 클라이언트에 Server Hello 메시지를 전송한다.
- 포함된 정보는 Client Hello와 동일하다.
* Certificate
- 서버는 자신의 certificate를 클라이언트에게 전송한다.
- 필요에 따라 CA의 certificate도 함께 전송한다.
- 클라이언트는 서버의 인증서가 유효한지 검사한다.
- 필요에 따라 서버 인증서의 CN을 검사할 수 있다.
* Hello Done
- Hand shake 절차가 완료되었음을 알리는 메시지를 전송한다.
위의 구글 드라이브 페이지는 취약한 워드 문서로 돌아가는 링크이다. 위의 워드 문서에서 매크로가 활성화되어 DLL을 통해 감염이 시작된다.
감염된 호스트는 Hancitor 명령과 컨트롤 트래픽을 일으킨다.
참고 : unit42.paloaltonetworks.com/wireshark-tutorial-hancitor-followup-malware/
