close
프로필 배경
프로필 로고

시큐리빗

시스템 보안 · 2024. 5. 13. fullscreen 넓게보기

악성코드 샘플분석 1차

목차
728x90

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.

 

etc-image-0

 

 

📌기초분석(VirusTotal)

VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.

(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.) 

 

etc-image-1

이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.

또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다.

 

etc-image-2

DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다.

 

etc-image-3

RELATIONS탭에서는 연관된 URL 정보를 확인할수 있었으며 다운로더 형태의 악성코드이므로 해당 URL와 네트워크 행위를 할가능성이 있을수 있다고 판단하였습니다. 

 

 

✏️ 기초분석 정리

다운로더 형태의 악성코드가 http://a-ton.co.kr 을 통해 추가적인 파일을 다운로드 받을것으로 판단하였습니다.

 

 

📌정적분석

정적분석은 주로 문자열추출을 통해 악성코드의 동적 행위를 파악하는 분석하는것입니다. 

 

패킹 여부 파악

패킹된 악성코드는 제대로된 문자열 정보를 얻을수 없기 때문에 가장 먼저 언패킹을 진행합니다.

 

Exeinfo PE

etc-image-4

대표적인 패킹여부를 확인할수 있는 도구인 ExeinfoPE를 통해 패킹여부를 확인하였습니다.

EP Section이 .text라는 정보와 ExeinfoPE 아래 부분에서 'Not packed'를 통해 패킹되지 않았음을 확인할수 있었습니다.

 

PEiD

etc-image-5

PEiD에서도 동일하게 EP Section이 .text라는 정보를 통해 패킹되지 않았음을 확인할수 있었습니다.

 

 

PE 구조 파악

PE view

PE 파일의 헤더, 타임스탬프 정보, 컴파일된 시간, DLL 정보등을 파악합니다.

 

etc-image-6

Raw Data 4D 5A~ 00 00의 Value값이 MZ라는 것을 통해 해당 악성코드가 실행파일임을 확인하였습니다.

 

etc-image-7

 

네트워크 관련 dll인 WSOCK32.dll, NETAPI32.dll를 통해 해당 악성코드가 네트워크 행위를 할 가능성이 높다고 판단하였습니다.

 

문자열 분석하기

binText

etc-image-8

url을 통해 파일을 다운로드 받는 urlmon.dll을 확인할수 있었습니다.

 

etc-image-9

http://a-ton.co.kr/saol/nskSetup.exe라는 문자열을 통해 악성코드가 nskSetup.exe를 다운로드 받을것으로 판단하였습니다.

 

 

Strings

etc-image-10

Strings를 통해 추가적인 정보는 얻지 못했습니다.

 

 

정적분석 정리

다운로더 형태의 악성코드가 http://a-ton.co.kr을 통해 nskSetup.exe을 다운로드 받을것으로 판단하였습니다.

 

 

📌동적분석

etc-image-11

기본적인 동작을 확인해보니, 관리자 권한을 통해 악성코드 실행되고 해당 악성코드가 사라지는 모습을 확인할수 있었습니다.

 

 

ProcessExplorer

실시간으로 동작하는것을 보여주기때문에 여러번 실행하여 확인해야하며, 영상으로 녹화하는것을 추천합니다.

 

etc-image-12

악성코드 실행시 bton02setup.exe 프로세스가 생성되고 cmd.exe가 하위 프로세스로 생성되었음을 확인하였습니다.

 

etc-image-13

MpCmdRun.exe는 윈도우 디펜더 관련 프로세스로 확인되었는데, 악성코드 분석시 방해가 될수 있으므로 윈도우 디펜더는 끄고 분석하는것을 추천합니다.

 

 

ProcessMonitor

etc-image-14

Process Tree를 통해 ProcessExplorer에서 확인했던 부분을 동일하게 확인하였습니다.

 

etc-image-15

cmd부분은 DleUS.bat라는 배치파일으로 악성코드를 삭제할때 사용되는것으로 보입니다.

 

etc-image-16

nskSetup.exe를 실행하려고 하였으나, 해당 파일을 찾지 못해 실패한것으로 보입니다.

 

etc-image-17

DelUS.bat와 bton02.setup.exe 파일들을 삭제하는 행위들도 확인하였습니다.

 

 

System Explorer

etc-image-18

스냅샷 기능을 통해 실행전후를 비교하였습니다. atin.ini 파일이 생성된것으로 확인되였으나 빈 텍스트 파일이였습니다.

 

 

Autoruns

etc-image-19

시작프로그램의 실행 전후를 비교하였으나 달라진 부분이 없었습니다.

 

 

Currports(참고)

etc-image-20

악성코드 실행시 TCP 통신이 잡혀 http://a-ton.co.kr과의 통신이 아닐까 의심하였으나 SystemExplorer의 로그를 통해서 실행전에도 네트워크 통신을 하고있었음을 확인하였습니다.

 

 

Wireshark

etc-image-21

a-ton.co.kr에 접속하기위해 DNS서버에 IP주소를 요청을 했지만, 도메인을 찾지못했다는 응답을 받았습니다.

 

✏️동적분석 정리

트로이 목마, 애드웨어, 다운로더 형태의 악성코드가 http://a-ton.co.kr 접속하여 nskSetup.exe 파일을 다운로드하려 시도하였으나, 해당 도메인이 만료되어 DNS 서버가 IP주소를 찾지 못하는것으로 보입니다.

 

✅ 결론

해당 악성코드는 악성 활동을 하지 않은 것으로 보입니다.

 

728x90
저작자표시 비영리 변경금지 (새창열림)
정보보안/시스템 보안 관련 글
더 보기

티스토리툴바