상세 컨텐츠

본문 제목

[리팩토링_13.14주차] 악성코드 샘플분석_bton02setup.exe

IT/리팩토링

by 인삼밭 고구마 2024. 1. 17. 14:24

본문

 

악성코드 샘플은 수업에서 제공된 bton02setup.exe이며,

지난번 환경 설정을 바탕으로 VMware Workstation의 윈도우7 가상환경에서

샘플분석을 정적분석 후 동적분석으로 진행하였습니다.

 

 

1. 정적 분석

아래의 각 툴을 사용하여 정적분석을 진행하였습니다.

 

그림1. PEID 분석 화면

 

그림1. 과 같이 PEID에서 파일검사를 진행한 결과 마이크로소프트 비주얼 C로 코딩된 프로그램임을 확인하였습니다.

 

 

 

그림2. PE View 분석 화면 1

 

그림2. 와 같이 PE View를 이용하여 검사한 결과 4D 5A ( MZ ) 를 확인하여, 이 파일은 실행파일이라는 것을 알 수 있었습니다.

 

 

 

그림3.  PE View 분석 화면 2

 

또한 그림3. 처럼 IMAGE_FILE_HEADER의 Time Date Stamp를 확인한 결과 해당 파일이 2015년 08월 04일에 생성된 것도 확인할 수 있었습니다.

 

 

 

그림4.  PE View 분석 화면 3

 

그림4. 와 같이 해당 파일에 포함된 세션 이름이 .text 인 것과, 메모리 섹션크기인 Virtual Size와 파일에서의 섹션크기인 Size of Raw Data가 크지 않은 것으로 보아 해당 파일은 패킹이 되지 않은 것으로 볼 수 있습니다.

 

 

 

그림5.  PE View 분석 화면 4

 

해당 파일에 Import 된 라이브러리 목록들을 한눈에 확인가능했으며, 이때 확인된 라이브러리 목록 중 NETAPI32.dll과 WSOCK32.dll을 통해 해당 파일이 네트워크 행위를 할 가능성이 높다는 것을 확인할 수 있었습니다.

 

그림6. PE View 분석 화면 5

 

그림6과 같이 a-ton.co.kr 도메인과 관련이 있을 수 있다는 문자열을 확인

 

 

2. 동적 분석

다음으로 동적분석을 진행하였습니다.

 

그림7. 파일실행 결과

 

그림7. 과 같이 파일을 관리자 권한으로 실행한 결과 해당파일이 사라지며 제대로 설치되지 않았을 수 있다는 문구의 창이 나오는 것을 확인하였습니다.

 

 

그림8.  process explorer 분석 화면

 

그림8.은 bton02Setup.exe 파일을 관리자 권한 실행 후 Process Explorer의 모습입니다.

dllhost.exe와 bton02setup.exe 프로세스가 실행되고 1초 후 사라지는 것을 확인할 수 있었습니다.

 

 

그림9.  Process Monitor 분석화면

 

그림9. 과 같이 악성코드 실행 후 프로세스 관찰하였는데, nskSetup.exe를 통해 어떤 행위를 시도하는 것으로 보였으나 존재하지 않는 개체를 열려고 했다는 것을 알리는 name not found 결과로 나오는 것을 확인하였습니다.

 

 

 

그림10.  Autoruns 분석화면1
그림11.  Autoruns 분석화면2

 

Autoruns는 윈도우가 부팅 후 자동으로 시작되는 서비스 또는 프로그램을 모니터링할 수 있는 툴입니다.
해당 툴은 보통 악성 코드 분석 시 해당 파일을 실행하기 전 스냅샷을 촬영하고 실행 후 스냅샷을 촬영해 두 개를 비교하는 것으로 사용합니다.

그림10.11과 같이 Autoruns에서 파일을 실행하였을 때, 악성코드 실행 전후로 레지스트리에는 변화를 확인할 수 없었습니다.

 

 

 

그림12.  Currports 분석화면

 

그림12과 같이 rundll32.exe과 통신하고자 하는 것으로 확인되었으나 state의 상태가 변화가 없음으로 통신이 정상적으로 이루어지지 못하는 것으로 확인되었습니다.

 

 

3.  정적분석 동적분석 후 최종 결론

정적 분석시

PEID > Microsoft Visual C++패킹되지 않은 것으로 확인

Peview > 파일 생성 시기는 201584,

               a-ton.co.kr 주소와 연관되며, MSVCRT.dll, KERNEL32.dll, USER32.dll, ADVAPI32.dll, NETAPI32.dll

               DLL 함수를 사용한 것으로 확인

 

동적분석 시 nsksetup.exe를 포함한 경로로 어떤 행위를 하려는 것으로 보였으나 존재하지 않는 개체를 열려고 했다는 결과가 발생하는 것을 확인하였으며 dnsa-ton.co.kr이라는 도메인 이름을 찾지 못하여 네트워크 행위가 발견되지 않는 것으로 보였다.

 

 

즉, 현재는 활동하지 않는 Adware , Trojan, Downloader 계열의 악성 코드로 보여집니다.

하지만 a-ton.co.kr 도메인이 복구가 된다면 언제든 다시 활동이 가능한 악성 코드로 볼 수 있습니다.

 

 

13주차_악성코드 샘플분석.pptx
1.30MB
14주차_악성코드 샘플분석2.pptx
1.12MB

 

 

저작자표시 비영리 변경금지

'IT > 리팩토링' 카테고리의 다른 글

[리팩토링_18주차] Snort  (0) 2024.01.17
[리팩토링_15~17주차] 악성코드 분석_dgrep.exe  (0) 2024.01.17
[리팩토링_12주차] 환경설정 및 샘플수집  (0) 2023.08.15
[리팩토링_11주차] 악성코드 정적&동적분석  (0) 2023.08.15
[리팩토링 10주차] VirusTotal  (0) 2023.08.15

관련글 더보기

티스토리툴바