[Malware analysis] Smokeloader Malware

[Malware analysis] Smokeloader Malware

참조

> https://asec.ahnlab.com/1371

> https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/

해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다.

먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.

(그림 1)

파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다.

(그림 2)

다운로드한 해당 파일의 vba를 살펴보게 되면 (그림 3)와 같이 또 다른 실행파일을 다운로드 받는 것을 확인할 수 있다.

(그림 3)

해당 파일 디버거에 올려 확인 시 과거에 경험 한 Ursnif 악성코드의 외형을 가지고 있는 것을 확인 할수 있었다.

(Ursnif Unpacking 참조)

(그림 4)

디버깅을 통하여 언패킹을 진행하여 (그림 5)와 같이 Smokeloader의 페이로드를 확인할 수 있었다.

(그림 6)

이후 디버깅 진행 시 난독화가 매우 복잡한 것을 확인할 수 있었는데... 확인한 사실은 PEB를 이용한 디버깅 유무를 체크하여 코드섹션의 데이터를 각각 다르게 참조하여 리턴값이 달라지는 것을 확인할 수 있었다.

또한, AppData\Roaming\cigewds 복사하는 행위와 원본 파일 삭제등을 하는 것으로 예측 되는데 확실하지 않아 블로그에는 작성하지 않았다.

이후 Anti VM과 또 다른 안티 디버깅 기법을 확인 해보았지만... Access violation이 자꾸 발생하였다.. 

결국 Smokeloader 악성코드에 대해서는 난독화가 복잡한... 악성코드라는 생각만 들었다.

- hxxp://toptopcoonf.space