constWORLDant

[issue] 페이스북 video_xxx.zip version 2 본문

0x06 Malware

[issue] 페이스북 video_xxx.zip version 2

data type ConS_tanT 2017.12.18 11:31

바이너리 상세 분석을 추가하였습니다.

아쉽게도 디버깅으로 페이스북에 접근하여 파일을 유포시키는 행위까지는 진행하지 못하였습니다.

다른 사람이 해서 자료를 공유해주었으면 합니다.


또한, 파일이 어떻게 변조 되는지까지 발견하신 분은 연락주세요. 너무 궁금합니다.

저는 이만 분석을 마치고 개인공부를 하러 가보겠습니다. 


약 8시간정도 이것 저것 분석하면서 열심히 공부한 것 같습니다. 

윤용태형 피드백 감사합니다.


추가 글 : 

디버깅으로 페이스북에 접근하여 파일을 유포시키는 행위는 제가 하는 것이 아니라 저의 토큰 값을 가져간 크래커가 진행하는 일인 것 같습니다.


FaceBook_Monero_XMR.pdf


추가 글 :  

HKCU\SOFTWARE\Codec 디렉터리를 지워주세요. 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 있는 Google Update, GooleChrome, Video_Codec 지워주시고 

크롬 재설치하시거나, 아마 프록시 관련 오류를 보시는 분들도 있으실겁니다. 


방법 1. 크롬 접속 -> 설정 ->  고급 클릭 -> 시스템 목록에 프록시 설정 열기 -> 인터넷속성의 연결 -> LAN 설정에 가시면 

프록시서버 사용자 LAN에 프록시 서버 사용에 체크가 되어있는 분이 있으실겁니다. 체크해제 후 자동구성에 "자동으로 설정 검색 체크"


방법 2 : 인터넷 익스플로러 접속 -> 설정 -> 인터넷 속성의 연결 -> LAN설정 방법1과 동일합니다. 


왜 레지스트리를 지워야하는지 알려드리겠습니다.  

분석해본 결과 해당 악성코드 바이너리만 지우고 크롬에 접속하게 되면 매니페스트 파일이 없거나 읽을 수 없습니다 라고 뜹니다.


그렇다면 Codec.exe가 크롬에 연관성이 있을 거라 생각이 되었습니다.


HKCU의 RUN에 가게되면 3개의 데이터가 있습니다.

데이터의 키값은 전부 CODEC.EXE에 연관이 되어있고 Google Updater라는 이름으로 된 데이터도 있습니다. 

pdf 그림 32를 참조하시면 됩니다. 


아직까지 글 쓰는데 미숙하여 이러한 상황을 기술하지 못한 점 죄송합니다. 

이 글을 쓰기 위해 피드백을 해주신 분들께 진심으로 감사드립니다.  

c0nstant 였습니다. 좋은 하루 되세요 ! 

7 Comments
댓글쓰기 폼