WEBVTT 00:00.590 --> 00:02.090 안녕하세요, 환영합니다. 00:02.090 --> 00:10.220 이 새로운 섹션에서는 Remcos 트로이 목마에 대한 설명은 이 웹사이트에서 확인할 수 있습니다. 00:11.570 --> 00:20.390 따라서 Remcos 원격 제어 및 감시는 독일에 본사를 둔 회사의 합법적인 소프트웨어로 판매되고 있습니다. 00:20.390 --> 00:28.790 Windows 시스템을 원격으로 관리하기 위한 보안을 깨고 현재 여러 악의적인 목적으로 널리 사용되고 있습니다. 00:28.790 --> 00:31.670 위협 행위자의 캠페인. 00:32.690 --> 00:39.920 Remcos는 모든 Windows를 완벽하게 제어하고 모니터링하는 데 사용할 수 있는 정교한 원격 액세스 트로이 목마입니다. 00:39.920 --> 00:43.280 Windows XP 이상의 컴퓨터. 00:43.910 --> 00:54.650 이것은 Remcos에 대한 설명이며, 이 웹사이트에서 코스를 다운로드하거나 구매할 수 있습니다. 00:54.650 --> 00:55.190 그 자체. 00:57.170 --> 00:58.670 이제 시작해 보겠습니다. 00:58.970 --> 01:02.090 이 Remcos 에이전트를 다운로드하세요. 01:02.510 --> 01:10.850 에이전트는 대상 컴퓨터에 설치하는 데 사용되며, 이 에이전트를 보내는 방법은 에이전트에 따라 달라집니다. 01:11.270 --> 01:12.990 전달 전략. 01:13.010 --> 01:21.710 이메일로 보내거나 웹사이트에 게시하거나 소셜 엔지니어링을 사용하여 누군가를 끌어들일 수 있습니다. 01:21.710 --> 01:22.430 설치하려면 01:23.390 --> 01:26.270 따라서 에이전트는 멀웨어 그 자체입니다. 01:27.430 --> 01:30.820 이제 먼저 눈을 떠 보겠습니다. 01:33.820 --> 01:36.160 작성된 내용을 확인합니다. 01:43.380 --> 01:49.320 여기에서 점 세 개를 클릭하고 포럼 비용 폴더로 이동합니다. 01:51.500 --> 01:55.460 그리고 펙커는 닷넷으로 작성되었습니다. 01:55.890 --> 02:01.820 엔트로피를 클릭하면 매우 높은 수치를 확인할 수 있습니다. 02:01.850 --> 02:03.740 7. 3, 92% 포장. 02:05.150 --> 02:07.940 그리고 32비트 애플리케이션입니다. 02:10.310 --> 02:14.210 이제 스튜디오를 사용하여 열어 보겠습니다. 02:19.450 --> 02:21.580 이 드래그 램은 스튜디오로 들어갑니다. 02:24.880 --> 02:30.790 또한 32비트 애플리케이션 엔트로피가 높다고 말합니다. 02:31.150 --> 02:31.720 일곱. 02:31.750 --> 02:32.920 그래서 꽉 차 있습니다. 02:36.310 --> 02:39.310 그리고 그는 매우 이상한 이름을 가지고 있습니다. 02:39.940 --> 02:40.960 내부 이름. 02:43.520 --> 02:44.780 파일 설명도 있습니다. 02:45.560 --> 02:48.830 따라서 이 패커는 닷넷 프레임워크로 작성되었습니다. 02:49.100 --> 02:54.470 그러나 내부에 있는 에이전트 자체는 C 플러스 플러스로 작성됩니다. 02:55.370 --> 02:57.830 이제 그 포장을 풀어보겠습니다. 02:57.830 --> 03:02.690 32비트 프로그램이므로 x 32 디버그로 열어보겠습니다. 03:06.090 --> 03:16.230 x32 dbg를 실행하고 여기 옵션에서 시스템, 중단점 및 콜백을 선택 취소합니다. 03:16.590 --> 03:20.250 트로이 목마 저장 및 열기를 클릭합니다. 03:26.600 --> 03:31.100 눈치챘다면 트로이 목마가 가짜 PDF 아이콘을 사용합니다. 03:35.100 --> 03:43.420 이제 몇 가지 중단점을 설정하고 중단점 탭으로 이동한 다음 여기에 설정합니다. 03:43.420 --> 03:47.010 가상 ALLOC의 중단점입니다. 03:52.790 --> 03:55.550 그리고 가상 보호의 중단점. 03:58.820 --> 04:02.160 디버거의 중단점이 존재합니다. 04:07.660 --> 04:20.410 createprocess 내부 w에 중단점이 있으므로 모든 중단점이 거기에 있는지 확인하기만 하면 됩니다. 04:20.410 --> 04:20.980 옵션. 04:20.980 --> 04:28.210 또한 여기에서 DLL 입력 시 중단하도록 기본 설정을 지정할 것입니다. 04:28.750 --> 04:40.480 이는 렘코스가 실행 중에 호출할 수 있는 다른 라이브러리를 캡처한 다음 클릭하기 위한 것입니다. 04:40.480 --> 04:41.350 저장을 클릭합니다. 04:44.770 --> 04:46.870 그런 다음 이제 실행을 클릭합니다. 04:49.740 --> 04:53.730 그리고 디버거가 있는 API에 부딪힙니다. 04:54.090 --> 05:01.950 따라서 반환을 위해 실행하면 디버거가 감지되었음을 의미하는 하나의 값을 반환합니다. 05:02.220 --> 05:09.180 따라서 디버거가 감지하지 못하도록 이 값을 0으로 되돌려야 합니다. 05:10.620 --> 05:12.210 그리고 다시 달려갑니다. 05:14.250 --> 05:23.970 이번에는 가상 할당을 누른 다음 여기로 이동하여 가상 할당을 따라갈 수 있습니다. 05:30.360 --> 05:37.320 그런 다음 할당된 주소에서 반환되는 내용을 확인합니다. 05:37.320 --> 05:39.000 X 레지스터에서. 05:41.010 --> 05:45.000 A 하나 뒤에 3과 0 세 개가 이어집니다. 05:45.780 --> 05:52.690 원하시면 여기 1번을 따라가셔도 됩니다. 05:53.470 --> 05:54.760 그리고 다시 달려갑니다. 05:56.590 --> 05:58.300 다시 가상 할당에 들어갑니다. 05:58.300 --> 05:59.770 그리고 이제 넘어갑니다. 06:09.030 --> 06:12.410 그리고 여기에서는 잠금 호출을 밟습니다. 06:13.890 --> 06:18.720 이번에는 이 메모리 영역 0028을 할당합니다. 06:19.020 --> 06:23.790 그리고 이제 우리는 이미 거기에서 무언가를 풀었습니다. 06:25.260 --> 06:29.310 이제 덤 2를 선택하고 덤 2에서 이 내용을 따릅니다. 06:30.900 --> 06:31.770 마우스 오른쪽 버튼을 클릭합니다. 06:31.770 --> 06:36.960 그리고 할당되지 않았기 때문에 제대로 따라갈 수 없습니다. 06:36.960 --> 06:37.230 그렇죠? 06:37.800 --> 06:44.370 따라서 F9를 계속 실행하면 다시 잠깁니다. 06:44.370 --> 06:45.030 뒤로 물러서세요. 06:51.010 --> 06:53.650 이 전화로 와서 이쪽으로 오세요. 06:54.550 --> 06:57.280 따라서 이번에는 이 지역에 할당됩니다. 06:57.640 --> 07:02.350 따라서 아래에서 오른쪽 클릭으로 이동하겠습니다. 07:03.040 --> 07:03.940 저도 마찬가지입니다. 07:04.870 --> 07:08.050 즉, 실제로 유용한 가상이 아니라는 뜻입니다. 07:08.350 --> 07:09.850 그래서 우리는 계속 달리고 있습니다. 07:18.340 --> 07:20.560 어느 쪽이 다시 계속 밟고 지나갑니다. 07:25.600 --> 07:29.150 이번에는 지역 5 뒤에 0이 세 번 나옵니다. 07:29.170 --> 07:31.750 덤프 도구를 선택하고 따라 해보세요. 07:31.850 --> 07:34.510 또한 다시 팔로우할 수 없습니다. 07:34.900 --> 07:38.530 즉, 이것은 우리가 따라야 할 유용한 가상 잠금 장치가 아닙니다. 07:39.430 --> 07:40.480 계속 실행합니다. 07:42.640 --> 07:43.210 뒤로 물러서세요. 07:45.490 --> 07:46.180 알겠습니다. 07:46.180 --> 07:52.120 가상 잠금은 아무데도 가지 않으므로 비활성화할 수 있는 것 같습니다. 07:52.810 --> 07:53.950 다시 한 번 시도해 보겠습니다. 07:57.880 --> 07:59.140 동일한 5 0. 07:59.170 --> 08:00.700 이전과 동일합니다. 08:00.910 --> 08:06.250 따라서 중단점으로 이동하여 가상을 비활성화할 수 있습니다. 08:07.830 --> 08:14.330 이는 멀웨어 분석의 시행착오와 탐색적 특성을 다시 한 번 보여줍니다. 08:14.340 --> 08:22.620 따라서 무언가가 작동하지 않는 경우 예를 들어 마우스 오른쪽 버튼을 클릭하면 이 API를 비활성화할 수 있습니다. 08:22.770 --> 08:26.100 더 이상 유용하지 않으므로 더 이상 따르지 않을 것입니다. 08:28.070 --> 08:40.310 이제 실행하면 이번에는 가상 보호에 도달하고 이제 가상으로 넘어갑니다. 08:40.310 --> 08:40.730 보호. 08:44.790 --> 08:49.590 전화가 올 때까지 보호 모드로 이동합니다. 08:49.980 --> 08:54.770 그런 다음 가상 보호의 두 번째 매개 변수를 살펴봅니다. 08:55.800 --> 09:04.430 그리고 이번에는 이를 위한 라이브러리인 Mscorlib 라이브러리를 참조할 것입니다. 09:04.650 --> 09:05.370 Net 프레임워크입니다. 09:05.400 --> 09:10.110 여기에는 특이한 사항이 없으므로 이를 기억할 필요가 없습니다. 09:10.530 --> 09:11.820 필요하지 않습니다. 09:12.780 --> 09:14.400 그래서 다시 뛰기만 하면 됩니다. 09:15.570 --> 09:15.960 다시? 09:15.960 --> 09:16.770 보호할 수 있습니다. 09:18.280 --> 09:18.910 뒤로 물러서세요. 09:20.110 --> 09:20.530 점프. 09:22.550 --> 09:27.200 가상 보호로 이동하여 미덕 보호 코어에 도달할 때까지 가상 보호로 이동합니다. 09:28.070 --> 09:30.380 두 번째 매개변수를 다시 살펴보세요. 09:30.470 --> 09:30.730 Ms. 09:30.740 --> 09:32.060 다시 전화하세요. 09:32.060 --> 09:33.440 유용하지 않습니다. 09:33.440 --> 09:35.870 그래서 우리는 이를 계속 무시하고 있습니다. 09:36.440 --> 09:36.980 실행. 09:39.320 --> 09:43.220 저는 그것을 다시 지키기 위해 밟고 뛰어넘어 보호했습니다. 09:45.600 --> 09:46.950 핵심에 도달할 때까지. 09:47.580 --> 09:49.320 두 번째 매개변수를 살펴보세요. 09:50.170 --> 09:56.580 CLR은 닷넷 프레임워크의 일부인 공용 언어 런타임의 일부이기도 합니다. 09:56.580 --> 09:58.980 따라서 여기에는 특이하거나 의심스러운 점이 없습니다. 09:59.490 --> 10:02.100 따라서 이 부분은 무시하고 계속 실행하면 됩니다. 10:02.190 --> 10:02.520 알겠습니다. 10:02.520 --> 10:05.670 그런 다음 가상 보호 단계를 계속 진행합니다. 10:09.270 --> 10:13.650 전화가 올 때까지 한 발짝 물러서세요. 10:14.640 --> 10:19.950 다시 두 번째 매개 변수를 검사했지만 다시 한 번 의심스러운 점이 발견되지 않았습니다. 10:20.190 --> 10:21.000 다시 실행합니다. 10:22.240 --> 10:24.700 그리고 마침내 의미 있는 무언가에 도달했습니다. 10:25.960 --> 10:32.230 API에 디버거가 있으므로 실행하여 반환하고 X에서 무엇을 반환하는지 확인해 보겠습니다. 10:34.660 --> 10:36.670 그리고 우리는 그것이 하나라는 것을 알 수 있습니다. 10:36.670 --> 10:38.860 그래서 우리는 이것을 뒤집어야 합니다. 10:40.330 --> 10:45.220 따라서 이 값을 수정하고 0으로 변경하여 반전시킵니다. 10:47.600 --> 10:48.740 다시 달릴 수 있습니다. 10:53.030 --> 10:54.830 이제 자유롭게 실행됩니다. 10:55.310 --> 11:07.880 여기에서 아래쪽에서 볼 수 있듯이 가상 보호에서 다시 중단하고 넘어가면 버전으로 이동합니다. 11:07.880 --> 11:10.490 핵심을 보호하고 핵심에 집중하세요. 11:10.940 --> 11:15.350 그리고 여전히 CLR을 호출하는 것을 볼 수 있습니다. 11:15.890 --> 11:23.930 이제 이 API가 연결하기에 적합하지 않다는 것을 알았으므로 Virtualprotect를 비활성화하겠습니다. 11:23.960 --> 11:26.420 따라서 이 항목을 마우스 오른쪽 버튼으로 클릭하고 비활성화합니다. 11:27.410 --> 11:34.640 따라서 이제 잠금 상태인 API를 비활성화하고 계속 실행할 수 있도록 보호해야 합니다. 11:37.280 --> 11:39.620 이제 자유롭게 실행됩니다. 11:40.220 --> 11:43.280 왼쪽 하단을 보고 어떤 일이 일어나는지 확인하세요. 11:44.360 --> 11:46.940 그리고 우리는 첫 번째 기회 예외에 도달했습니다. 11:47.750 --> 11:53.420 계속 진행할 수 있으며 다음 동영상에서 계속 설명하겠습니다. 11:53.720 --> 11:54.980 시청해 주셔서 감사합니다.