티스토리 뷰
[Malware analysis] Smokeloader Malware
참조
> https://asec.ahnlab.com/1371
> https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/
해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다.
먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.
(그림 1)
파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다.
(그림 2)
다운로드한 해당 파일의 vba를 살펴보게 되면 (그림 3)와 같이 또 다른 실행파일을 다운로드 받는 것을 확인할 수 있다.
(그림 3)
해당 파일 디버거에 올려 확인 시 과거에 경험 한 Ursnif 악성코드의 외형을 가지고 있는 것을 확인 할수 있었다.
(그림 4)
디버깅을 통하여 언패킹을 진행하여 (그림 5)와 같이 Smokeloader의 페이로드를 확인할 수 있었다.
(그림 6)
이후 디버깅 진행 시 난독화가 매우 복잡한 것을 확인할 수 있었는데... 확인한 사실은 PEB를 이용한 디버깅 유무를 체크하여 코드섹션의 데이터를 각각 다르게 참조하여 리턴값이 달라지는 것을 확인할 수 있었다.
또한, AppData\Roaming\cigewds 복사하는 행위와 원본 파일 삭제등을 하는 것으로 예측 되는데 확실하지 않아 블로그에는 작성하지 않았다.
이후 Anti VM과 또 다른 안티 디버깅 기법을 확인 해보았지만... Access violation이 자꾸 발생하였다..
결국 Smokeloader 악성코드에 대해서는 난독화가 복잡한... 악성코드라는 생각만 들었다.
- hxxp://toptopcoonf.space
'Reversing > Malware analysis' 카테고리의 다른 글
[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일 (0) | 2020.10.06 |
---|---|
[Malware analysis] 4.[아태연구]논문투고규정.docx (0) | 2020.09.04 |
[Malware analysis] 폼북(Formbook) Malware (0) | 2020.07.31 |
[Malware analysis] 5개월만에 돌아온 Emotet Malware (0) | 2020.07.27 |
[Malware analysis] WastedLocker 랜섬웨어 (0) | 2020.07.27 |
- Total
- Today