[Malware analysis] 폼북(Formbook) Malware

[Malware analysis] 폼북(Formbook) Malware

 

참조

> https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html

> https://asec.ahnlab.com/1362

> https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850

> https://jeongzzang.com/147

 

참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.

(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.

DHL Express으로 위장한 실행 파일인 것을 확인할 수 있으며, 델파이로 만들어진 것을 확인할 수 있다.

(그림 1)

 

해당 파일은 안티 리버싱 기법이 적용이 되어 있는데 참조에 있는 "[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드"와 같은 기법들이 적용 되어 있는 것을 확인할 수 있다.

해당 부분은 생략하고 리소스 섹션에 인코딩 된 데이터를 불러와 디코딩 된 Formbook 페이로드를 확인할 수 있다.

(그림 2)

 

(그림 3)은 페이로드 메인 부분과 구조를 확인할 수 있다.

Formbook을 살펴보면 (그림 3)와 같이 IAT가 없는 것을 확인할 수 있다.

 

(그림 3)

 

(그림 4)를 살펴보면 해당 부분에 ntdll을 복사하는 것을 확인할 수 있다. 이러한 방식을 이용하는 이유는 아래에서 확인 가능하다.

(그림 4)

 

(그림 5)와 같은 방식으로 안티디버깅을 확인할 수 있다.

ntdll을 복사해 해당 복사한 메모리에서 API를 호출하기 때문에 안티디버깅 같은 행위를 찾기 어렵게 만든것을 확인할 수 있다.

(그림 5)