악성코드 분석 실습1

btn02setup.exe 분석

기초분석

꼭, Reanalyze로 분석 최신화 72개의 프로그램 중 52개에서 악성코드 탐지

악성코드 유형은 Trojan, Adware, downloader로 추정

파일의 해시값도 확인가능

패킹여부도 확인가능

⇒ 이외에도 PE 정보도 확인 가능하지만 반드시 직접 검사를 해야함

정적분석

패킹여부확인

⇒ 패킹이 되어있지않으므로 언패킹 작업 없이 분석 시작

PE Header 텍스트 분석

bintext

의존성도구 Kernel32.dll : 메모리, 파일 ,하드웨어 Advapi32.dll : 서비스 관리자, 레지스트리 NETAPI32.dll, WSOCK32.dll: 네트워크관련

⇒ 위와 같은 시스템 영역을 사용하는 것으로 추정

http://a-ton.co.kr 과 통신을 하는 것으로 추측

 

URL 통신 뒤 nsksetup.exe 실행파일을 다운로드받고

새로운 설치파일을 설치하는것으로 추측

 

Delus.bat Batch 파일은 사용자 개입없이 실행 무언가 동의 없이 제거 하는 것으로 추측

Atin.ini 라는 구성 설정 파일 도 찾을 수 있음

PE Header 크로스 체크

PEview

4D 5A MZ

파일 signature를 통해 실행 파일이라는 것 확인 가능

Virtual size와 Size of Raw Data 차이 없기 때문에 패킹이 되어있지 않은 파일이라고 다시한번 확인

동적분석

프로그램 실행 전

프로그램 실행 후

⇒ 실행파일이 사라진것을 확인할 수 있음

프로세스 영역

Process Explorer

프로세스가 실행 후 동작하지 않고 바로 종료됨

추가적인 프로세스는 동작 하지않음

파일, 레지스트리 영역

Regshot

레지스트리의 변화가 거의 없는 것으로 볼때 시스템 변화가 없는 것으로 추정

Autoruns

autoruns 에서도 레지스트리 변경점 확인 불가능

System Explorer

system explorer 로 프로그램 실행 전과 후의 파일의 변경 여부 확인

bintext 에서 확인한 atin.ini 파일이 생성됨

Url에서 받아온 실행 파일 설정하는 파일로 추정

Bton02setup.exe 는 실행과 함께 삭제된 것으로 추정

Delus.bat 파일이 삭제 시킨 것으로 보임

⇒ 레지스트리에는 변화가 없었지만 파일에는 변화가 있었음

 

Process Monitor

bintext에서 확인한 nsksetup.exe 설치를 시도했지만 찾지 못해서 실패한 결과 확인가능

 

네트워크 영역

wireshark

DNS에 a-ton.co.kr 에 대한 질의했지만 응답이 오지 않음

⇒ 웹페이지가 활성화 되어있지 않아 nsksetup.exe 설치를 실패한것으로 보임

smartsniff

DNS 질의 후 별다른 통신이 없었기 때문에 Smartsniff로는 정보를 알 수 없음

Currports

DNS 질의 단계에서 종료가 되어 포트 이상징후는 발견되지 않음

결론

• Trojan, adware downloader 계열의 악성코드
• 실행파일을 실행시키면 URL에 접속하여 악성프로그램을 다운로드
• 다운로드된 악성프로그램을 실행시켜 악성행위를 하는 방식
• 현재 도메인이 비활성화되어 2차 프로그램을 설치하지 못하는것으로 추정