[2] 악성코드 분석

- 2021.11.01 -

---

** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. **

[Virtual Environments] OS : Windows 7 pro Architecture : 32bit Tools : OllyDbg200, PEStudio, PEView malware file :

[ 악성코드에 취약한 함수 찾기 ]

[ 함수 목록 ]

> GetProcAddress > GetMeoduleHandle > LoadLibrary

 

[ 취약 함수 설명 ]

> GetProcAddress

메모리로 load한 dll에서 함수 주소를 검색한다. PE 헤더에서 import한 함수 뿐 아니라 다른 dll에서 함수를 import할 때 사용한다.

 

> GetMeoduleHandle

이미 load한 module의 handel을 가져올 때 사용한다. 악성코드는 getModuleHandle을 이용해 load한 module에서 코드를 위치시키고 수정하거나 code injection에서 사용할 좋은 위치를 탐색한다.

 

> LoadLibrary

LoadLibrary와 같이 프로세스로 dll을 load하는 하위 수준의 함수이다.

일반 프로그램은 LoadLibrary를 사용하므로 import 함수의 존재 여부로 프로그램이 은폐 시도를 하는지 알 수 있다.

 

 

[ 메모리에서 코드로 작업하는 DLL ]

PEStudio를 이용하여 위에서 발견된 취약함수 3개가 어떤 dll과 연결되어있는지 확인했다.

연동된 dll은 kernel32.dll이라는 dll파일로 확인되었다.

OllyDbg를 통해서 확인을 진행했을 때에도 kernel32.dll을 확인 할 수 있었다.

.qqpack은 blacklist section에 올라가있는 것을 확인하였다.

 

[ 메모리에서 메모리로 이동하는 걸 찾기 ]

PEStudio를 통해 Level3에 해당하는 Memory, Count를 4개가 있는걸 확인했다.

 

어셈블리어에서 메모리에서 메모리로 이동하는 명령어로 movsx가 있다.

📣 movsx = Move with Sign-Extended

= Byte나 Word크기의 Operand를 Word나 DWord 사이즈로 늘려준다.

  movsw, movsd는 esi와 edi에 지정한 주소에 있는 데이터를 옮길 때 사용한다.

 

---

마  치  며

아직까지는 분석이라는 이름보다는.. 그냥 이게 뭔지도 모르고 이거다 이거다 하는 수준이다..

올리기 참 부끄럽지만 이렇게 하나하나 기록해 나가며 내 분석 기량이 느는것을 기록해 나갈 것이다.