티스토리 뷰

728x90
반응형

[Malware analysis] Smokeloader Malware


참조

https://asec.ahnlab.com/1371

https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/


해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다.


먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.

(그림 1)


파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다.

(그림 2)


다운로드한 해당 파일의 vba를 살펴보게 되면 (그림 3)와 같이 또 다른 실행파일을 다운로드 받는 것을 확인할 수 있다.

(그림 3)


해당 파일 디버거에 올려 확인 시 과거에 경험 한 Ursnif 악성코드의 외형을 가지고 있는 것을 확인 할수 있었다.

(Ursnif Unpacking 참조)

(그림 4)


디버깅을 통하여 언패킹을 진행하여 (그림 5)와 같이 Smokeloader의 페이로드를 확인할 수 있었다.

(그림 6)


이후 디버깅 진행 시 난독화가 매우 복잡한 것을 확인할 수 있었는데... 확인한 사실은 PEB를 이용한 디버깅 유무를 체크하여 코드섹션의 데이터를 각각 다르게 참조하여 리턴값이 달라지는 것을 확인할 수 있었다.

또한, AppData\Roaming\cigewds 복사하는 행위와 원본 파일 삭제등을 하는 것으로 예측 되는데 확실하지 않아 블로그에는 작성하지 않았다.

이후 Anti VM과 또 다른 안티 디버깅 기법을 확인 해보았지만... Access violation이 자꾸 발생하였다.. 

결국 Smokeloader 악성코드에 대해서는 난독화가 복잡한... 악성코드라는 생각만 들었다.


- hxxp://toptopcoonf.space

728x90
반응형
댓글
댓글쓰기 폼
반응형
250x250
공지사항
«   2020/11   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Total
167,144
Today
2