[6] 악성코드 분석

- 2022.01.31 -

---

** 악성코드는 오로지 교육과 분석의 용도로만 사용하며 획득 경로, 방법에 대해서 배포 및 공유하지 않습니다. **

[Virtual Environments] OS : Windows Architecture : x64 Tools : IDA, pestudio, peview

6번째 악성코드 분석이다.

분석할 악성코드

오늘은 파일 Lab07-03.exe와 Lab07-03.dll 을 분석해 보았다.
파일명이 같은것으로 보아서는 exe파일이 실행되면 dll을 같이 연동해서 사용되는 악성코드로 보여진다.

[ 정적분석 ]

 

위 dll, 아래 exe

pestudio로 사용되는 함수들을 확인해보았다.
익숙한 여러 함수들이 보인다. Mutex함수는 지난 6번째 악성코드 분석때 한번 확인했었고
Create @@는 이제 생성 혹은 실행을 의미하는것을 확인할 수 있었다.
MapViewOfFile의 함수와 CreateFileMapping을 보아하니 파일의 전체 개요도를 보고 특정 파일에 대해 매핑하는 기능이 있는것으로 의심된다.

peview, 함수확인

peview에서도 Address Table에 들어가면 사용되는 함수들을 확인할 수가 있다.

pestudio, kernel32.dll과 kerne132.dll

그러나 peview에서는 확인이 안되었던게 pestudio에서 발견할 수 있었다.
알파벳 l(L)과 숫자1이 비슷하다는 착시를 이용해 kernel32.dll과 kerne132.dll이 언급되어진것을 확인할 수 있었다.
아마 위에서 본바 kernerl32.dll은 이 특정경로에서 저 dll파일을 사용하기 위해 언급이 되어진것같고 kerne132.dll은
기존 시스템에 정상적으로 있는 dll파일은 아닌걸로 판단되는데 아마 정상dll파일 경로와 동일한곳에 정상파일인것처럼 속이려고 만들어지는 것 같다.

핵심 코드 함수들을 확인할 수 있어서 정적분석은 하지 않기로 한다. 바로 코드리뷰로 넘어가보자

[ 코드리뷰 ]

 

IDA, 함수 및 동향

IDA를 열어 확인해 보았다. 메모리 주소 004014AC를 보면 call명령어로 CreateFIle을 호출하는데 이것은 kerne132.dll을 생성하는 역할을 한다. 이후 call다음 명령어인 mov를 이용해 CreateFileMapping의 값을 ebx 값에 이동시킨다.

그 다음 MapViewOfFIle 함수로 파일은 전개도를 여는것으로 판단했다.
마지막 줄의 call 명령어로 CreateFIleA 함수를 이용하여 Lab07-03.dll을 실행한다.
이로써 정적분석에서 pestudio로 확인했던 Kerne132.dll을 생성하는것이 맞고 초기에 분석전 Lab07-03.dll을 로드할것이다 라는 생각이 맞았다.

IDA, CreateFileMapping과 MapViewOfFile

이후 지속적으로 여러 함수를 통해서 파일을 매핑하고 로드 하는 작업을 거친다.

IDA loc_4017D4

메모리주소 004017D4에서 앞서 불렀던 핸들들을 모두 종료한다.
call명령어를 이용해 CopyFile함수를 호출하는데 이중 두개의 파일이 푸쉬된것을 확인할 수 있다.
Lab07-03.dll을 C:\Windows\system32\kerne132.dll 과 대치. 그러니까 복사해서 그대로 붙여넣는 것으로 보인다.
악성코드 6번째 분석을 통해서 지속된 반복을 특정 사이트 주소에 보낸것을 보아 DOS로 판단했는데 이번에는 dll파일을 특정 시스템파일 경로에 복사해놓는것으로 보아 Backdoor 혹은 트로이목마 바이러스로 판단했다.

---

마 치 며
6번째 악성코드 분석이다.

잡혀가는 형태에 살만 잘 붙여서 더 깊게 파악할 수 있으면 좋을 것 같다.특정 dll파일이 특정 경로로 옮겨 복사를 하는 파일이다.백도어나 트로이목마 바이러스로 원격조정을 할 수있는 그런 바이러스로 판단한다.