고정 헤더 영역
상세 컨텐츠
본문
악성코드 샘플은 수업에서 제공된 dgrep.exe 이며,
지난번 환경 설정을 바탕으로 VMware Workstation의 윈도우7 가상환경에서
샘플분석을 기초분석, 정적분석 후 동적분석으로 진행하였습니다.
1. 기초 분석
Virustotal에 악성 샘플을 업로드하였을 때,
그림1과 같이 70개의 백신 중 67개의 백신에서 악성코드라고 진단하였으며,
많은 백신이 Backdoor,Trojan 으로 악성코드 진단을 하였습니다.
이를 통해 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 설치된 통신 연결 기능인 백도어와 정상적인 파일로 위장하여 악의적인 기능을 수행하는 트로이 목마 성격을 가지고 있는 것으로 확인하였습니다.
그림 2와 같이 DETALIS 탭에 들어가서 확인해보면, 해당파일의 해시값을 알 수 있으며, Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였고, PEiD 툴을 통해서 SVKProtector로 패킹이 되어 있고 UPX로 한번 더 패킹이 되어있는 것 같다고 추측해볼 수 있었습니다.
그림 3과 같이 RELATIONS탭에서 도메인을 보았을때 해당 악성파일로 인하여 접촉되었던 URL과 도메인 이름에 api.wisemansupport.com와 api.admatching.co.kr 이 있으며 적지 않은 백신이 악성으로 진단한 것을 확인하였습니다.
2. 정적 분석
그림 4와 같이 PEiD 로 스캔한 결과 SVKP 1.11 버전으로 패킹이 된 것을 확인할 수 있습니다.
그림 5와 같이 다른 툴을 사용하기 전 먼저 해당 파일을 Gunpacker을 통해 언패킹 하는 작업을 진행하였습니다.
그러자 그림6과 같이 언패킹된 파일을 PEiD 툴로 확인했을 때 C++ 언어로 작성되었다는 것과 언패킹이 제대로 완료되었다는 것을 확인하였습니다.
그림 7과 같이 wiseman.exe실행 및 rundll32.exe cmd창을 실행시켜서 네트워크 상태와 속도를 점검하는 ping 테스트를 한다는 것과 RedTom21@HotMail.com 이메일과 관련이 있다는 것도 확인하였습니다.
또한 그림 8과 같이,
파일 시스템, 메모리, 프로세스 관련 작업을 처리를 위한 kernel32.dll
윈도우에서 마우스 움직임, 그림, 화면 등 그래픽 관련 gdi32.dll
C 표준 라이브러리 함수 구현을 포함하는 MSVCRT.dll
윈도우 유저 인터페이스 관련 함수를 구현하는 user32.dll
네트워크 관련 작업을 수행하는 WS2_32.dll 등의 dll 파일을 가져와서 사용한다는 것을 확인했습니다.
그림9와 같이 DOS에서 .exe 실행파일에서 사용되는 파일형식인 MZ 시그니처를 가지고 있음을 확인하였고,
그림 10과 같이 Time date stamp를 통해 2015년 10월 9일에 파일이 생성되었다는 것을 확인하였습니다.
또한 Bin text와 마찬가지로 해당 파일이 내장하고 있는 dll 을 확인할 수 있었습니다.
3. 동적 분석
dgrep.exe 파일 실행 후 파일이 사라지는 것으로 확인하였습니다.
그림 13과 같이 그냥 실행하였을때 cmd를 통해서 rundll32.exe를 실행시키는 것을 확인하였고,
그림 14와 같이 관리자모드로 실행하였을때 cmd를 통해서 ping을 실행시키고 rundll32.exe와 wiseman.exe를 실행시키는 것을 확인하였습니다.
그림 15와 같이 체크된 곳을 자세히 살펴보면
dgrep.exe 실행 후 tqlhb.exe 라는 파일이 C:\Users\Study\Appdata\Local\Temp\ 에 생성되고, 실행되는 것을 확인할 수 있었습니다.
※ 해당 oycrq.exe 파일은 Process Monitor 로 여러차례 파일을 다시 시작하며 확인해본 결과 파일 이름이 랜덤한 이름으로 생성되는 것을 확인하였음
이후 dgrep.exe 가 cmd.exe 를 실행하는 모습을 확인 하였습니다
위에서 실행된 파일들을 바탕으로 Process Monitor 의 Filter 목록을 추가해 조금 더 자세히 분석을 해보았습니다.
먼저 확인된 것을 위에 보이는 것과 같이 cmd.exe 의 행위였으며, cmd.exe 프로세스가 Ping 명령어 사용을 위해 PING.EXE 파일을 실행하는 모습을 확인할 수 있었습니다.
그림17과 같이 이전 랜덤한 이름으로 생성된 파일의 프로세스가 dgrep.exe 파일을 삭제하기 위한 함수인
SetDispositionInformationFil(셋 디스포지션인포메이션파일) 이라는 함수를 사용하는 모습을 확인하였고,
C:\Wiseman.exe 파일과 C:\windows\SystemWOW64\rundll32.exe 파일을 실행하는 것을 확인하였습니다.
그림18과 같이 Autoruns에서 파일을 실행하였을 때, 시작프로그램에 이전에 없던 프로그램들이 추가된 것이 발견되었으며, pc가 재부팅 될때마다 자동으로 시작되게끔 설정되어지는 레지스트리에 EvtMgrk 포함되었다는 것을 알 수 있었습니다.
rundll32.exe 프로세스가 107.163.241.197, 107.163..241.108 해당 2개 IP와 연결을 시도하는 모습을 확인할 수 있었으며,
상태를 보면 전송됨 이라는 상태 즉 SYN_SENT 상태를 의미하고, 해당 상태에서 변함이 없는 것을 보았을 땐 연결에는 실패하는 것으로 보여졌습니다.
상태를 보면 전송됨 이라는 상태 즉 SYN_SENT 상태를 의미하고, 해당 상태에서 변함이 없는 것을 보았을 땐 연결에는 실패하는 것으로 보여졌습니다.
Wiseman.exe 프로세스가 3.35.144.12 에 연결을 시도하는 모습을 아래 사진에서 확인할 수 있었으나 그림19와 마찬가지로 SYN_SENT 상태에서 변화가 없는 것을 보아 연결에는 실패하는 것으로 보여졌습니다.
그림 21과 같이 107.163.241.197, 107.163.241.198 과 통신하기 위해 SYN 플래그를 각각 6520번 포트와 12354 포트로 보내는 것을 확인할 수 있었습니다.
하지만 RST 플래그가 응답으로 오는 것을 보아서는 연결에 실패하는 것으로 보여집니다.
다음 3.35.144.12 같은 경우에도 연결을 시도하는 SYN 플래그를 보내는 것을 확인할 수 있었습니다.
하지만 재전송만 시도할 뿐 연결에는 실패하는 것으로 보여졌습니다.
4. 분석 결론
해당 dgrep.exe 파일은 실행하면 아이콘이 사라지고 사용자 몰래 악성행위를 하는 트로이목마와 사용자의 컴퓨터 기능을 무단으로 사용될 수 있도록 몰래 통신연결을 하는 백도어 형태의 악성 파일로 추정되었습니다.
그러나 파일을 실행한 날짜에는 해당 악성코드가 정상적으로 작동하지는 않는 것으로 보여졌으며,
하지만 api.wisemansupport.com URL과 107.163.241.197, 107.163.241.198 이 복구가 된다면 다시 활동을 재개할 수도 있을 것으로 보여집니다.
15주차_악성코드 샘플분석.pptx
1.25MB
16주차_악성코드 샘플분석.pptx
1.05MB
악성코드 분석 보고서.docx
1.15MB
'IT > 리팩토링' 카테고리의 다른 글
| [리팩토링_19주차] Snort 환경 구성 (0) | 2024.01.17 |
|---|---|
| [리팩토링_18주차] Snort (0) | 2024.01.17 |
| [리팩토링_13.14주차] 악성코드 샘플분석_bton02setup.exe (0) | 2024.01.17 |
| [리팩토링_12주차] 환경설정 및 샘플수집 (0) | 2023.08.15 |
| [리팩토링_11주차] 악성코드 정적&동적분석 (0) | 2023.08.15 |
