[csrcs] 정적분석 공부

2017. 10. 1. 17:020x06 Malware

728x90

1. 정적분석 


[1] Virus Total

 

SHA256 

 5d3bad7a20ca52fb11f98e76e5496f7772727833bc01f66323d8a220fd7dff31

 File

vt-upload-AyV_k 

 Detect

Autoit 

 Target

Intel 386 or later processors and compatible processors 

 section

.text, .rdata, .data, .rsrc 


[2] PE VIEW 


IMAGE_DOS_HEADER 

Signature: IMAGE_DOS_SIGNATURE MZ


MS-Dos Stub Program


IMAGE_NT_HEADERS

Signature : IMAGE_NT_SIGNATURE PE 

IMAGE_FILE_HEADER:


IMAGE_OPTIONAL_HEADER

Magic : IMAGE_NT_OPTIONAL_HDR32_MAGIC (010B)

ImageBase : 0x00400000

Base of Code : 0x00001000



IMAGE_SECTION_HEADER .text


IMAGE_SECTION_HEADER .rdata



IMAGE_SECTION_HEADER .data




IMAGE_SECTION_HEADER .rsrc



SECTION .rdata 


IMPORT Address Table








Kernel32.dll 은 너무 많아서 일부만 첨부하였다.









IMPORT Hints/Names & DLL Names 일부 




SECTION .rsrc



[3] autorun.inf


                     

;GHrbSnzUjEnZorrfLJOsXhbQjNEFflAYuxiaRpunScsJCJbQwcXsLrfkvnWF
[AutoRun]
;kiYGQaglVUx
open=mfvqed.exe
;ByeXqsnTutnsO
shell\open\Command=mfvqed.exe
;aSOOwEvFcIMpdNkWhXnzKUWNGvNuRzzlOXHvjGrYhdWpNC
shell\open\Default=1
;
;QjAzDAENXYrsExJcvsyvvM
shell\explore\Command=mfvqed.exe

;vZBxYiUEmPWeDFoSxvNWHbKtvSZPJCuWAVsGMZJHZIguyzohucwMDSPAHxPS                                            


[4] Detect it Easy



2. 동적분석


[1] autorun


바이너리 실행 전 상태를 arn 확장파일로 저장

바이너리 실행 전, 후 변화 없음 


[2] Process Explorer 

explorer의 자식프로세스로 잠시 감지되었다가 바로 사라짐. 

그래서 별다른 행위 분석을 못함.



[3] Promon

Process Explorer에서 약 1초간 이러한 행위를 하게 된다.

E 드라이브를 찾아가서 디렉토리를 찾고 파일을 열고 닫는 행위를 한다. 



csrcs.exe가 실행되면 절대경로에서 파일을 닫고 특정 레지스트리에 쿼리값을 생성하고, dwmapi.dll를 통해 특정 행위를 수행한다.  


다음은 상기의 그림에서 레지스트리에 쿼리 값이 등록된 모습이다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM 

ThrottleDrege 


HKLM\SOFTWARE\Wow6432Node\Microsoft\CTF\Compatibility\csrcs.exe

HKLM\System\CurrentControlSet\Control\Nls\Locale\Alternative Sorts

HKLM\System\CurrentControlSet\Control\Nls\Language Groups

HKLM\System\CurrentControlSet\Control\Nls\Locale\00000412

HKLM\System\CurrentControlSet\Control\Nls\Language Groups\8

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\SideBySide


특이사항. 

악성코드 바이너리가 rmfparx의 데이터에 액세스하려 시도하지만, 시스템에 캐시 되어 있는 데이터가 존재하지 않아 FAST IO DISALLOWED이 출력되면서, 추가적으로 NAME NOT FOUND가 출력되게 된다. 모든 이벤트는 Create나 Open뒤에는 Close가 따라온다.




아직까지는 무엇을 위해 해당 악성코드를 읽는지는 모르겠으나, 이벤트에는 ReadFile 중이다.



정상 프로그램의 이름은 csrss.exe인데, csrcs.exe.DLL 이라는 가짜 파일을 생성하려고 시도하지만, 시스템에 캐시되어 있는 데이터가 존재하지 않아 FAST IO DISALLOWED가 출력된다. 



다음 이벤트는 파일 객체에 대한 정보를 반환, 이름의 형식에 대한 자세한 정보를 반환해주는 QueryNameInformationFile Operation을 통해 pe view에서 봤던 dll들의 정보를 얻어온다.



svchost에서 해당 악성코드에 관련된 레지스트리 키를 생성하고, 키 안에 값을 대입하며, 질의를 열어주는 행위를 진행한다.



'0x06 Malware' 카테고리의 다른 글

기초공부 중  (0) 2017.12.03
Good Job  (0) 2017.11.29
레몬 세미나  (0) 2017.10.28
Thread Local Storage  (0) 2017.10.26
작성중인 자료.  (0) 2017.10.25