티스토리 뷰

[Malware analysis] Anti-VM(Ursnif)


Ursnif 분석 시 Anti-VM 우회 부분을 정리한 내용이다. (이전 Unpacking 내),  (Anti-Reversing 참고)


  1. Payload(decoding) 상세 분석 

Ursnif 디버깅 진행 시 해당 시스템 정보를 얻는 것을 확인 할 수 있었으며, 해당 정보을 이용하여 Anti-Vm CPU 사이클 횟수 차를 이용하여 Rdtsc 안티 디버깅이 있는 걸 확인 할 수 있다.  

즉, 해당 기법을 통하여 디버깅 유무를 확인하는 사실을 확인 할 수 있다. 

 

그림 1 – Anti_VM, Rdtsc 안티 디버깅 


먼저 Anti-Vm을 우회하기 위해 해당 vbox”, “qemu”, “vmware”, “virtual hd” 비교 문자를 변경하려고 하였지만 해당 문자는 인코딩 되어 있어 점프문 분기를 수정하여 Anti-VM을 우회하였다. 

(그림 2)을 살펴보면 점프 분기문을 0x40160F 주소로 HxD을 이용하여 수정을 할 수 있다. 

 

그림 – Anti-VM 우회 


Anti-VM 우회 이후 실행 시 (그림 3)과 같은 행위를 하는 것을 확인 할 수 있다. 

 

그림 3 – decoding, Anti-VM 우회행위 


댓글
«   2020/06   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        
Total
145,362
Today
56