리팩토링 15주차 샘플분석

목차

1. 샘플 파일
2. 기초 분석
  - Virustotal
3. 정적 분석
  - Exeinfo
  - Peid
  - Bintext
  - Peview
4. 동적 분석
  - Process Explorer (프로세스 및 레지스트리)
  - Process Monitor
  - System Explorer
  - Autoruns
  - WireShark (네트워크 패킷 분석)
 5. 결론

 

1. 샘플 파일

 

분석 환경에는 Vmware 17 pro, windows 11 pro 64bit 환경에서 진행함.

 

---

 

2. 기초 분석

 - Virustotal

 

 

Virustotal에 bton02setup.exe를 스캔한 결과 

73개의 백신 중 52개가 악성코드라고 판단을 했다.

위협 카테고리로는 Trojan, Adware, Downloader가 나왔다.

 

* Trojan : 트로이 목마

* Adware : 특정 소프트웨어 실행 또는 설치 후 자동적으로 광고가 표시되는 프로그램

* Downloader : 인터넷에서 다른 악성코드 컴포넌트를 다운로드하고 시스템에서 실행하는 프로그램

 

 

더 자세하게 보기위해 Details 탭으로 이동을 했다.

Details탭에서는 기본속성(MD5, SHA-1)과 같은 기본정보와 Win32에서 작동하는 PE파일을 확인할 수 있다.

또한 PEID Packer에서 Microsoft Visual C++인 것으로 보아 패킹이 안되어 있고 DetectitEasy에서 컴파일이 C/C++ 인것을 알수있었다.

History에서는 만들어진 시간과 First, Last Submission, Last Analysis 시간도 알수있었다.

 

---

3. 정적 분석

 - Exeinfo

 

C++로 만들어졌고 Not packed로 패킹이 안되어 있는 것을 확인했다.

 

---

 

 - Peid

 

Peid에서도 C++로 만들어진것과 패킹이 안되어 있는것을 알수있었다.

 

---

 

 - Bintext

 

 

Bintext를 사용해서 PE파일 안에 함수, 도메인 주소, ip, dll ,exe 등 파일을 찾아봤다.

여러가지 함수와 dll 파일이 있었다.

• KERNEL32.dll
  - 메모리, 파일, 하드웨어 접근과 조작과 같은 핵심 기능
  - 파일시스템, 디바이스, 프로세스, 스레드와 같은 기초적인 리소스에 대한 접근 기능 지원
• USER32.dll
  - 버튼, 스크롤바, 사용자 행위 제어와 반응 컴포넌트 등 모든 사용자 인터페이스 컴포넌트를 가짐
  - 사용자 인터페이스를 담당하는 기능을 지원, 윈도우 창의 생성 및 관리, 윈도우 메시지의 수신, 화면에 텍스트 표현, 메시지 박스 표현
• ADVAPI32.dll
  - 서비스 관리자나 레지스트리 같은 추가 핵심 윈도우 컴포넌트에 접근 가능
  - 레지스트리, 시스템 종료와 재시작, 윈도우 서비스의 시작/종료/생성, 계정 관리 등의 기능 지원
• URLMON.dll
  - Internet Explorer 프로그램에서 쓰이는 dll 혹은 lib 파일을 말한다.
  - WinInet.dll 을 둘러싸는 래퍼(wrapper)로 MIME 형식 처리와 웹 콘텐츠를 다운로드하는 역할을 한다.
  - 악성코드 다운로더는 추가 악성 콘텐츠를 다운로드하고자 이 DLL의 함수를 사용한다.
• NETAPI32.dll
  - 운영체제에서 지원하는 다양한 통신 기능을 응용 프로그램이 접근할 수 있도록 지원하는 기능
• WSOCK32.dll
  - 네트워크, 소켓 관련 dll
  - 이 dll을 사용하는 프로그램은 네트워크 연결 등 네트워크 관련 작업을 수행할 가능성이 높다.
• VERSION.dll
  - 악성파일로 교체됬을 경우 국내외 유명 보안 제품들의 정상적인 실행을 방해하기 위한 기능을 수행하며, 특정 프로세스를 강제 종료 시도한다.
• MFC42.DLL
  - Microsoft Foundation Classes의 일부로 C++ 프로그래밍을 위한 클래스 라이브러리를 제공
• MSVCRT.dll
  - C 프로그래밍 언어를 위한 런타임 라이브러리로, 기본적인 C 함수 및 입출력 기능을 제공
  
  

 

네트워크 작업을 한후 C:\\WINDOWS\ 경로 안에 http://a-ton.co.kr/saol/nskSetup.exe를  설치하고 실행하고  \atin.ini도 실행된다고 생각이 든다. 

또한 del를 통해서 어떤 문자열을 삭제를 하는데 조건절을 넣어서 어떤 문자열이 존재하면 Repeat 지점으로 돌아가 반복하고 없으면 삭제를 하고 DelUS.bat을 실행한다라고 추측한다.

 

 

xml 스크립트에서 이 앱은 권한을 요구하는데 level이 requireAdministrator로 전체 관리자의 권한을 요청하는 것을 알수있다.

 

---

 

 - Peview

 

Peview를 통해서 위에서 확인한 것들을 다시 한번 확인한다.

MZ로 PE 파일을 확인한다.

 

 

Virtual Size가 Size of Raw Data 보다 작으므로 패킹이 안됐다고 생각할 수 있다.

 

 

Bintext에서 확인한 dll도 확인할 수 있다.

 

 

만들어진 날짜도 Virustotal에서 확인한 값과 똑같다.

 

---

 

4. 동적 분석

 

관리자 권한으로 실행을 시켜본다.

실행했더니 해당 파일이 사라졌다.

---

 - Process Explorer

 

bton02를 실행시키고 확인해보니 프로세스가 생성되고 바로 사라지는 것을 확인했다.

 

---

 - Process Monitor

 

프로세스가 시작되면서 앞에서 본 dll을 불러오고 있다.

 

 

또한 nskSetup.exe를 못찾는 것을 확인할 수 있다.

 

 

 

cmd를 실행하며 bton02setup.exe와 DelUS.bat를 삭제한다. 

---

 - System Explorer

 

샘플 실행 전과 후를 비교해보니 atin.ini가 생겼고 파일을 열어보니 아무것도 없었다.

---

 - Autoruns

 

Autoruns에서도 스냅샷으로 비교를 해보려 했으나 변화가 없었다.

---

 - WireShark

샘플을 실행하고 여러번 시도했으나 네트워크 관련 활동은 확인 못했다.

 

---

5. 결론

 

• 기초 분석 결과 Adware, Trojan, Downloader 계열의 악성 코드로 보여짐
• 정적 분석  결과 네트워크 작업을 하는 dll을 호출하고 a-ton.co.kr에서 nskSetup.exe를 찾아서 C:\\WINDOWS\ 경로에 설치하고 실행하며 a.tin.ini도 설치되는 것으로 추측된다.
• 동적 분석 결과 샘플을 실행할시 cmd를 통해 샘플 파일과 DelUS.bat을 스스로 삭제하며 a-ton.co.kr에 접속을 해야 하지만 도메인에 문제가 있어 네트워크 활동이 안되는 것으로 추측되므로 도메인이 활성화 되지 않는한 안전하다고 판단된다.