close
프로필 배경
프로필 로고

리빗의 기술노트

Security/악성코드 분석 · 2024. 5. 13. fullscreen 넓게보기

악성코드 샘플분석 1차

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.

 

 

 

📌기초분석(VirusTotal)

VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.

(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.) 

 

이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.

또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다.

 

DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다.

 

RELATIONS탭에서는 연관된 URL 정보를 확인할수 있었으며 다운로더 형태의 악성코드이므로 해당 URL와 네트워크 행위를 할가능성이 있을수 있다고 판단하였습니다. 

 

 

✏️ 기초분석 정리

다운로더 형태의 악성코드가 http://a-ton.co.kr 을 통해 추가적인 파일을 다운로드 받을것으로 판단하였습니다.

 

 

📌정적분석

정적분석은 주로 문자열추출을 통해 악성코드의 동적 행위를 파악하는 분석하는것입니다. 

 

패킹 여부 파악

패킹된 악성코드는 제대로된 문자열 정보를 얻을수 없기 때문에 가장 먼저 언패킹을 진행합니다.

 

Exeinfo PE

대표적인 패킹여부를 확인할수 있는 도구인 ExeinfoPE를 통해 패킹여부를 확인하였습니다.

EP Section이 .text라는 정보와 ExeinfoPE 아래 부분에서 'Not packed'를 통해 패킹되지 않았음을 확인할수 있었습니다.

 

PEiD

PEiD에서도 동일하게 EP Section이 .text라는 정보를 통해 패킹되지 않았음을 확인할수 있었습니다.

 

 

PE 구조 파악

PE view

PE 파일의 헤더, 타임스탬프 정보, 컴파일된 시간, DLL 정보등을 파악합니다.

 

Raw Data 4D 5A~ 00 00의 Value값이 MZ라는 것을 통해 해당 악성코드가 실행파일임을 확인하였습니다.

 

 

네트워크 관련 dll인 WSOCK32.dll, NETAPI32.dll를 통해 해당 악성코드가 네트워크 행위를 할 가능성이 높다고 판단하였습니다.

 

문자열 분석하기

binText

url을 통해 파일을 다운로드 받는 urlmon.dll을 확인할수 있었습니다.

 

http://a-ton.co.kr/saol/nskSetup.exe라는 문자열을 통해 악성코드가 nskSetup.exe를 다운로드 받을것으로 판단하였습니다.

 

 

Strings

Strings를 통해 추가적인 정보는 얻지 못했습니다.

 

 

정적분석 정리

다운로더 형태의 악성코드가 http://a-ton.co.kr을 통해 nskSetup.exe을 다운로드 받을것으로 판단하였습니다.

 

 

📌동적분석

기본적인 동작을 확인해보니, 관리자 권한을 통해 악성코드 실행되고 해당 악성코드가 사라지는 모습을 확인할수 있었습니다.

 

 

ProcessExplorer

실시간으로 동작하는것을 보여주기때문에 여러번 실행하여 확인해야하며, 영상으로 녹화하는것을 추천합니다.

 

악성코드 실행시 bton02setup.exe 프로세스가 생성되고 cmd.exe가 하위 프로세스로 생성되었음을 확인하였습니다.

 

MpCmdRun.exe는 윈도우 디펜더 관련 프로세스로 확인되었는데, 악성코드 분석시 방해가 될수 있으므로 윈도우 디펜더는 끄고 분석하는것을 추천합니다.

 

 

ProcessMonitor

Process Tree를 통해 ProcessExplorer에서 확인했던 부분을 동일하게 확인하였습니다.

 

cmd부분은 DleUS.bat라는 배치파일으로 악성코드를 삭제할때 사용되는것으로 보입니다.

 

nskSetup.exe를 실행하려고 하였으나, 해당 파일을 찾지 못해 실패한것으로 보입니다.

 

DelUS.bat와 bton02.setup.exe 파일들을 삭제하는 행위들도 확인하였습니다.

 

 

System Explorer

스냅샷 기능을 통해 실행전후를 비교하였습니다. atin.ini 파일이 생성된것으로 확인되였으나 빈 텍스트 파일이였습니다.

 

 

Autoruns

시작프로그램의 실행 전후를 비교하였으나 달라진 부분이 없었습니다.

 

 

Currports(참고)

악성코드 실행시 TCP 통신이 잡혀 http://a-ton.co.kr과의 통신이 아닐까 의심하였으나 SystemExplorer의 로그를 통해서 실행전에도 네트워크 통신을 하고있었음을 확인하였습니다.

 

 

Wireshark

a-ton.co.kr에 접속하기위해 DNS서버에 IP주소를 요청을 했지만, 도메인을 찾지못했다는 응답을 받았습니다.

 

✏️동적분석 정리

트로이 목마, 애드웨어, 다운로더 형태의 악성코드가 http://a-ton.co.kr 접속하여 nskSetup.exe 파일을 다운로드하려 시도하였으나, 해당 도메인이 만료되어 DNS 서버가 IP주소를 찾지 못하는것으로 보입니다.

 

✅ 결론

해당 악성코드는 악성 활동을 하지 않은 것으로 보입니다.

 

저작자표시 비영리 변경금지
Security/악성코드 분석 관련 글
더 보기

티스토리툴바