티스토리 뷰

728x90
반응형

[Malware analysis] 폼북(Formbook) Malware


참조

https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html

https://asec.ahnlab.com/1362

https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850

https://jeongzzang.com/147


참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.

(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.

DHL Express으로 위장한 실행 파일인 것을 확인할 수 있으며, 델파이로 만들어진 것을 확인할 수 있다.

(그림 1)


해당 파일은 안티 리버싱 기법이 적용이 되어 있는데 참조에 있는 "[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드"와 같은 기법들이 적용 되어 있는 것을 확인할 수 있다.

해당 부분은 생략하고 리소스 섹션에 인코딩 된 데이터를 불러와 디코딩 된 Formbook 페이로드를 확인할 수 있다.

(그림 2)


(그림 3)은 페이로드 메인 부분과 구조를 확인할 수 있다.

Formbook을 살펴보면 (그림 3)와 같이 IAT가 없는 것을 확인할 수 있다.

(그림 3)


(그림 4)를 살펴보면 해당 부분에 ntdll을 복사하는 것을 확인할 수 있다. 이러한 방식을 이용하는 이유는 아래에서 확인 가능하다.

(그림 4)


(그림 5)와 같은 방식으로 안티디버깅을 확인할 수 있다.

ntdll을 복사해 해당 복사한 메모리에서 API를 호출하기 때문에 안티디버깅 같은 행위를 찾기 어렵게 만든것을 확인할 수 있다.

(그림 5)


해당 샘플이 복잡해 분석이 쉽지 않았다.. 하지만 이러한 방식을 사용하는 악성코드도 있다는 것을 확인할 수 있어 괜찮았다.


728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today