[Reversing] Self Creation, 디버깅

[Reversing] Self Creation, 디버깅

Emotet 분석중

(그림 1)을 살펴보면 서비스 실행 한도 시간을 수정한 후 해당 서비스 실행 파일의 EP의 2byte 값을 무한루프로 변경해 주는 것을 확인 할 수 있다. 

이후 서비스를 시작할 때 해당 서비스를 Attach를 한 후 원복 후 디버깅을 진행 할 수 있다.. 

 

그림 1 – 서비스 디버깅 

CVE-2017-11882 분석중

취약점 발생 원인 부분을 살펴보면 Microsoft Office의 수식 편집기(EQNEDT32)을 이용하여 쉘 코드를 실행하는 한다는 사실을 알 수 있었다. 

즉, Cve-2017-11882.rtf을 실행 시 수식 편집기가 실행 되면서 취약점이 발생하는 걸 확인하였다. 

(그림 2)와 같이 EQNEDT32.EXE의 Entry Point을 확인 후 Entry Point를 “EB FE”로 변경해주면 무한루프 상태로 이때 디버거을 이용하여 ATTACH 후 원래 HEX 값으로 원복하여 디버깅을 할 것 이다.  

 

그림 2 – EQENDT32.EXE  

 

실제로 무한루프가 걸려 원복 후 디버깅 진행..

 

그림 3 – 무한루프 원복