[Malware analysis] Ursnif Anti-VM

[Malware analysis] Anti-VM(Ursnif)

Ursnif 분석 시 Anti-VM 우회 부분을 정리한 내용이다. 

> 이전 Unpacking 내용

> Anti-Reversing 참고

- 샘플 파일 다운로드

> 첨부파일

2. Payload(decoding) 상세 분석 

Ursnif 디버깅 진행 시 해당 시스템 정보를 얻는 것을 확인 할 수 있었으며, 해당 정보을 이용하여 Anti-Vm과 CPU 사이클 횟수 차를 이용하여 Rdtsc 안티 디버깅이 있는 걸 확인 할 수 있다.  

즉, 해당 기법을 통하여 디버깅 유무를 확인하는 사실을 확인 할 수 있다. 

 

그림 1 – Anti_VM, Rdtsc 안티 디버깅 

먼저 Anti-Vm을 우회하기 위해 해당 “vbox”, “qemu”, “vmware”, “virtual hd” 비교 문자를 변경하려고 하였지만 해당 문자는 인코딩 되어 있어 점프문 분기를 수정하여 Anti-VM을 우회하였다. 

(그림 2)을 살펴보면 점프 분기문을 0x40160F 주소로 HxD을 이용하여 수정을 할 수 있다. 

 

그림 2 – Anti-VM 우회 

Anti-VM 우회 이후 실행 시 (그림 3)과 같은 행위를 하는 것을 확인 할 수 있다. 

 

그림 3 – decoding, Anti-VM 우회, 행위