티스토리 뷰

[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드


참조

https://jeongzzang.com/141

https://asec.ahnlab.com/1351

https://www.hauri.co.kr/security/issue_view.html?intSeq=405&page=1

https://www.virustotal.com/gui/file/88bd2a65da1bea7e7815fb9cab600c87e69b0bd8f3770b68a3b74b51a2d9eb2b/detection


영화 '결백'으로 위장한 백도어형 악성코드(Innocence Bot) 토렌트를 통해 유포되는 것을 확인할 수 있다. 위 참조 블로그를 통해 분석을 하였다.

아이비코리아 토렌트큐큐에서 영화 검색시 해당 파일을 확인할 수 있다. 해당 압축파일을 풀면 총 3개의 파일이 존재하며, 그 중 (그림 1)에서 보이는 LOCK파일 해제.exe 악성코드를 분석했다.

(그림 1)


디버거에 올려보면 먼저 (그림 2)와 같이 확인할 수 있으며, 이전 작성한 델파이 관련 내용을 보면 라벨을 적용할 수 있다.

(그림 2)


분석 진행 시 분석환경에서는 Anti-Reversing으로 인하여 바로 종료되는 것을 확인할 수 있다. 이후 진행 시 여러 ZwQueryInformationProcess()을 확인할 수 있었으며, 분기문 우회를 통하여 우회를 진행하였다.

(그림 3)


우회 후 분석 시 실행중인 프로세스를 얻은 후 아래와 같은 문자열들을 메모리에 저장하여 (그림 4), (그림 5)와 같은 프로세스나 백신을 확인하는 것을 확인할 수 있다. 이역시 우회를 진행하였으며, 이후 분석에 방해되는 Anti-Reversing은 다 우회하였다.

(malware, sandbox, ample, procmon.exe, procmon64.exe, windbg.exe, procexp.exe, procexp64.exe, ollydbg.exe, aswidsagent, avgsvc.exe, avgui.exe, avastsvc.exe, avastui.exe, avp.exe, bdagent.exe, bdwtxage.exe, dwengine.exe, msmpeng, mpcmdrun, nissrv)

(그림 4)

(그림 5)


계속 분석 진행 시 악성코드의 특정 리소스를 불러오는 것을 확인할 수 있다. 인코딩 데이터와 (그림 6)와 같은 아프리카TV 스트리밍 플랫폼 설치파일을 가지고 오는 것을 확인할 수 있으며, CURSOR 리소스에서 (그림 7)와 같이 해당 데이터를 추가로 확인할 수 있었다.

(그림 6)

(그림 7)


또 분석 진행 시 (그림 8)와 같이 먼저 Temp 폴더에 rd1N.tmp 임시 파일을 생성한 뒤, afreecatvstreamer_installer (3).exe 설치파일을 생성하는 것을 확인할 수 있다.

(그림 8)


(그림 9)을 보게되면 ShellExecute()을 이용하여 (그림 8)에서 생성한 afreecatvstreamer_installer (3).exe을 실행하는 것을 확인할 수 있으며, 설치 팝업창까지 확인할 수 있다.

(그림 9)


분석 진행 시 (그림 10)와 같이 이전 메모리에 저장한 인코딩된 쉘코드를 디코딩 루프를 통하여 백도어형 악성코드(Innocence)를 확인할 수 있다.

(그림 10)


이후 CreateProcess(), ZwUnmapViewOfSection(), ZwCreateSection(), ZwMapViewOfSection(), GetThreadContext(), SetThreadContext(), ZwResumeThread() 프로세스 할로잉 기법을 이용하여 (그림 11)와 같이 자식 프로세스를 생성하여 unmap 뒤 쉘코드 할당을 ResumeThread()을 통해 Suspended 상태인 프로세스를 활성화하는 것을 확인할 수 있다.

해당 추출한 프로세스는 UPX로 패킹되있는 것을 추가로 확인할 수 있다.

(그림 11)


해당 해시값 확인 시 백도어형 악성코드(AhnLab-V3Trojan/Win32.Innocence.C4154315)라는 것을 확인할 수 있었으며, 참조 블로그를 통해 추가로 확인한 내용은 동적 DNS를 활용하여 C&C 주소를 받아오는 것으로 C&C 주소가 시시각각 변할 수 있다고 한다.

이후 추출한 백도어형 악성코드를 살펴보았는데 https://jeongzzang.com/111 안티디버깅이 있었으며, 추가 분석은 쉽지않아..마무리 하였다.


댓글
댓글쓰기 폼
공지사항
«   2020/08   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
Total
151,721
Today
2