2017. 10. 1. 17:02ㆍ0x06 Malware
1. 정적분석
[1] Virus Total
SHA256 |
5d3bad7a20ca52fb11f98e76e5496f7772727833bc01f66323d8a220fd7dff31 |
File |
vt-upload-AyV_k |
Detect |
Autoit |
Target | Intel 386 or later processors and compatible processors |
section | .text, .rdata, .data, .rsrc |
[2] PE VIEW
IMAGE_DOS_HEADER
Signature: IMAGE_DOS_SIGNATURE MZ
MS-Dos Stub Program
IMAGE_NT_HEADERS
Signature : IMAGE_NT_SIGNATURE PE
IMAGE_FILE_HEADER:
IMAGE_OPTIONAL_HEADER
Magic : IMAGE_NT_OPTIONAL_HDR32_MAGIC (010B)
ImageBase : 0x00400000
Base of Code : 0x00001000
IMAGE_SECTION_HEADER .text
IMAGE_SECTION_HEADER .rdata
IMAGE_SECTION_HEADER .data
IMAGE_SECTION_HEADER .rsrc
SECTION .rdata
IMPORT Address Table
Kernel32.dll 은 너무 많아서 일부만 첨부하였다.
IMPORT Hints/Names & DLL Names 일부
SECTION .rsrc
[3] autorun.inf
;GHrbSnzUjEnZorrfLJOsXhbQjNEFflAYuxiaRpunScsJCJbQwcXsLrfkvnWF ;vZBxYiUEmPWeDFoSxvNWHbKtvSZPJCuWAVsGMZJHZIguyzohucwMDSPAHxPS |
[4] Detect it Easy
2. 동적분석
[1] autorun
바이너리 실행 전 상태를 arn 확장파일로 저장
바이너리 실행 전, 후 변화 없음
[2] Process Explorer
explorer의 자식프로세스로 잠시 감지되었다가 바로 사라짐.
그래서 별다른 행위 분석을 못함.
[3] Promon
Process Explorer에서 약 1초간 이러한 행위를 하게 된다.
E 드라이브를 찾아가서 디렉토리를 찾고 파일을 열고 닫는 행위를 한다.
csrcs.exe가 실행되면 절대경로에서 파일을 닫고 특정 레지스트리에 쿼리값을 생성하고, dwmapi.dll를 통해 특정 행위를 수행한다.
다음은 상기의 그림에서 레지스트리에 쿼리 값이 등록된 모습이다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM
ThrottleDrege
HKLM\SOFTWARE\Wow6432Node\Microsoft\CTF\Compatibility\csrcs.exe
HKLM\System\CurrentControlSet\Control\Nls\Locale\Alternative Sorts
HKLM\System\CurrentControlSet\Control\Nls\Language Groups
HKLM\System\CurrentControlSet\Control\Nls\Locale\00000412
HKLM\System\CurrentControlSet\Control\Nls\Language Groups\8
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\SideBySide
특이사항.
악성코드 바이너리가 rmfparx의 데이터에 액세스하려 시도하지만, 시스템에 캐시 되어 있는 데이터가 존재하지 않아 FAST IO DISALLOWED이 출력되면서, 추가적으로 NAME NOT FOUND가 출력되게 된다. 모든 이벤트는 Create나 Open뒤에는 Close가 따라온다.
아직까지는 무엇을 위해 해당 악성코드를 읽는지는 모르겠으나, 이벤트에는 ReadFile 중이다.
정상 프로그램의 이름은 csrss.exe인데, csrcs.exe.DLL 이라는 가짜 파일을 생성하려고 시도하지만, 시스템에 캐시되어 있는 데이터가 존재하지 않아 FAST IO DISALLOWED가 출력된다.
다음 이벤트는 파일 객체에 대한 정보를 반환, 이름의 형식에 대한 자세한 정보를 반환해주는 QueryNameInformationFile Operation을 통해 pe view에서 봤던 dll들의 정보를 얻어온다.
svchost에서 해당 악성코드에 관련된 레지스트리 키를 생성하고, 키 안에 값을 대입하며, 질의를 열어주는 행위를 진행한다.
'0x06 Malware' 카테고리의 다른 글
기초공부 중 (0) | 2017.12.03 |
---|---|
Good Job (0) | 2017.11.29 |
레몬 세미나 (0) | 2017.10.28 |
Thread Local Storage (0) | 2017.10.26 |
작성중인 자료. (0) | 2017.10.25 |