※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/chm-malware-analysis/1. *.chm Malware?1-1) 개요*.chm(Compiled HTML) 파일은 컴파일된 HTML Help 파일로, 윈도우 도움말로 잘 알려져 있다. Microsoft에서 만든 독점 형식이며 *.chm 파일에는 도움말 파일을 검색하고 보는 데 사용되는 HTML 페이지, 이미지 및 목차와 기타 탐색 도구가 포함되어 있다.도움말 파일은 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 주로 이용된다. *.chm 파일은 아래 프로그램을 통해 실행된다.hh.exe (microsoft® html..
1. 도둑맞은 0.025 ETH때는 2023년 9월 18일, 한창 2023 KDFS Challenge 문제를 제작하던 중, 문제 시나리오에 사용하기 위해 Metamask ETH 주소에 입금한 0.025 ETH가 12초 만에 도난당한 사건이 발생했다. 당시 도난당한 이유를 밝히기 위해 다음과 같이 여러가지 가설을 세웠다.Metamask가 해킹당했다.얼마 전 암호화폐 지갑 분석 주제로 발표를 했었는데 당시 Metamask 복호화 과정 소개 때 니모닉 시드가 유출됐다.나의 부주의함으로 니모닉 시드가 유출되었다.확인 결과 1번은 알려진 소식이 없었고, 2번은 발표 당시 사용했던 지갑과 이번에 도난당한 지갑이 달랐다. 그렇다면 나의 부주의로 인해 니모닉이 유출되었다고 밖에 볼 수 없는 상황이었다.예전에 dApp ..
※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/your-cryptocurrency-wallet-software-is-safe/1. 암호화폐 지갑 프로그램암호화폐를 이용하는 사람들 중 대부분은 거래소를 이용해 자산을 관리하고 있을 것이다. 하지만 암호화폐를 관리하기 위한 목적으로 별도의 암호화폐 지갑 프로그램을 사용할 수도 있다. 암호화폐 지갑 프로그램은 형태에 따라 다음과 같이 구분할 수 있다.모바일 애플리케이션설치형 프로그램(Windows/Mac/Linux)웹 브라우저 확장 플러그인암호화폐 지갑 프로그램은 어떤 아티팩트를 생성할까? 암호화폐 세계에서 주요 정보는 다음과 같다.니모닉 시드개인키공개키(주소..
※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/introduction-to-sweeper-bot/1. Sweeper Bot 이란?"sweep"이라는 단어는 쓸다, 쓸어담다 라는 뜻을 가진다. 그리고 "bot"이라는 단어는 특정 작업을 반복 수행하는 프로그램 이라는 뜻을 가진다. 그렇다면 "sweeper bot"은 "쓸어담는 행위를 반복 수행하는 프로그램"으로 해석할 수 있다.Sweeper Bot암호화폐 주소에 자금이 유입되거나 특정 조건을 만족할 때 개발자가 의도한 주소로 자금을 전송하는 자동화된 프로그램2. Sweeper Bot 피해 원인 및 증상피해자가 소유한 암호화폐 주소와 관련된 키가 유출되었을 ..
※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/kimsuky-bitcoin-address-tracking/ 1. 한미 정부 합동 보안권고문 발표2023년 6월 2일, 한미 양국은 대표적인 북한 해킹 조직으로서 전세계를 대상으로 정보 및 기술을 탈취해온 '김수키(Kimsuky)'에 대한 한미 정부 합동 보안권고문을 발표했다. 그리고 우리 정부는 김수키를 세계 최초로 대북 독자제재 대상으로 지정했다. 이와 관련된 글은 아래 링크를 통해 확인할 수 있다. 북한 정권을 위해 정보·기술 탈취해 온 해킹조직 ‘김수키’ 겨눈다 상세보기|보도자료 | 외교북한 정권을 위해 정보·기술 탈취해 온 해킹조직 ‘김수키’ 겨눈다..
※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/cryptocurrency-scam/1. 스캠의 시작암호화폐 서비스 프로그램 아티팩트 연구 중, 프로그램 기능 사용에 어려움이 있어 텔레그램 공식 커뮤니티에서 조언을 구하고자 그룹 채팅방에 들어갔다. 그룹 채팅방에 들어가고 나서 몇 초 뒤, 해당 프로그램의 공식 계정인 것처럼 위장한 사람으로부터 1:1 대화를 받았다. (대상 프로그램은 Specter였는데, 프로필 사진으로 Specter의 공식 로고를 사용했으며 계정명은 Specter | Live Chat 을 사용했다.)스캐머가 대화방을 나가는 바람에 대화내역 캡처를 못 했는데, 주고받은 내용을 요약하면 아래..
※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.원문 참고 : https://blog.plainbit.co.kr/tracking-bitcoin-addresses-of-dprks-ransomware/※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.1. 北 랜섬웨어 관련 韓美 합동 사이버보안 권고2023년 2월 9일, 미국 사이버인프라보안청인 CISA에서 북한 랜섬웨어 관련 한미 합동 사이버 보안 권고문을 발행했다.https://www.cisa.gov/uscert/ncas/alerts/aa23-040a해당 사이버 보안 권고문은 미국에서 진행 중인 랜섬웨어 예방 캠페인(#StopRansomware)의 일환으로, 네트워크 방어..
