はじめに この記事の内容は2022年6月の検体で確認したQbotについての記事です。 API Hashについて API Hashとはマルウェアの解析を妨害する手法の一つである。呼び出すWindows APIをハッシュ化しておき、実行時に動的に解決をすることで、そのマルウェアがど…

はじめに Qakbotと呼ばれるばらまき型メールに添付されているウイルスがある。 事前にメールを盗み返信を装う形で攻撃メールを送付するといったことや、ショートカットファイルやFollinaを使って攻撃をすることも報告されていたと思う。 Qakbotの解析につい…

はじめに この記事の内容は2022年6月、9月時点での解析で確認したQbotについての記事です。 アンパック後Qakbotの文字列 アンパックした後の検体を見てみると、図のようにほとんど解析に有用な文字列は少ない。「%u.%u.%u.%u」のようなIPアドレスと思われる…

はじめに この記事の内容は2022年6月および2022年9月時点での解析で確認したQbotについての記事です。 Qakbotのリソースセクション Qakbotをアンパックした後のPEファイル内には二つのリソースが含まれている。 アンパック後のQbotのリソース このリソースに…

はじめに SECCON Beginners CTF 2022のReversingのWriteupです。今年はReversingは全問といたのでReversing全問書きます。ちなみにLinuxのバイナリは動かしてないですので、こういう動きするんだろうなぁとは思いながら解いていますが、実際に動的解析しなが…