악성 코드 분석 실습2

dgrep.exe 악성코드 분석

 

기초분석

virustotal 검사

결과 72개 백신프로그램중 67개에서 악성코드 탐지

악성코드 유형: trojan

V3 기준: Backdoor/Win.Venik.R573655

MD5:68af0599e74d36bc2f39a2710754082c

SHA-1:c63f22e2d6feecbe9801c76a76f81589bce1b9a3

SHA-256:d3e4a46b95a3a54c762f0e1696e9167528bd1cf30b190e4893b44f0259e7893c

패킹되어 있는 파일로 확인이됨

정적분석

exeinfo로 패킹여부 확인

⇒ RL!depacker 를 사용하여 언패킹하라고 하였으나 프로그램을 구할 수 없었음

 

패킹된 상태로 분석 했을때

string 정보 확인 불가능

 

PE 정보도 확인 불가능

virtual 과 Raw Data도 값이 다름

 

GUnPacker 언패킹

dump 파일이 생성됨

string을 언패킹한 dump 파일을 bintext로 스캔

Bintext

• cmd.exe 를 이용해 명령을 사용
• C드라이브 wiseman.exe
• rundll32.exe 프로그램 사용(XML 관련 내용)
• C 와 D 드라이브에 무언가를 생성
• winsta0₩default 사용자 작업이 수행되는 쉘 완경
• RedTom21@hotmail.com 과 연관

Kernel32.dll: 메모리 관리, 파일 입/출력, 프로그램 코드/실행 등 기본적인 기능이 내장

GDI32.dll: 화면/프린터의 그래픽 출력을 관리

WS2_32.dll: 네트워크 기능, 네트워크에 연결하거나 네트워크 관련 작업을 수행

USER32.dll : 윈도우, 대화 상자, 메뉴 등을 관리

 

이외에도 Microsoft VBScript로 위장한것으로 추정

동적분석

dgrep. exe 실행시 실행파일이 사라짐

특히, 파일 레지스트리 부분은 관리자 실행과 일반 실행에 차이가 있으니 분석에는 반드시 관리자 열기로 실행

Process Explorer

정적 분석에서 발견한거처럼

dgrep.exe 실행 후 cmd.exe를 실행시키고 ping.exe 까지 실행

 

추후 rundll32.exe 가 wiseman.exe까지 실행한걸 확인

 

Bintext에서 확인 가능했던 부분

랜덤으로 생성된 실행파일을 실행

Process Monitor

dgrep.exe를 실행시키면 cmd.exe을 실행하고 dll에 접근

랜덤한 이름을 가진 실행파일을 생성 확인

 

cmd.exe가 생성된 랜덤이름의 실행파일 (위는 oltbq.exe 아래는 boaor.exe) 을 실행

PING.exe도 실행

 

생성된 실행파일이 rundll32.exe를 실행

->dgrep.exe가 삭제된것으로 볼때 이 은닉 후 위 실행파일이 그 역할을 하는 것으로 추정

 

rundll32.exe: wiseman.exe와 taskkill.exe 실행

 

rundll32.exe는 tcp 연결을 위해 스레드로 재연결을 하도록 명령

동시에 구성 설정 파일을 생성 명령을 내림

 

Wiseman.exe는 AWS EC2 서비스에 연결을 시도함

 

dgrep.exe → cmd.exe → boaor.exe → rundll32.exe → wiseman.exe 순으로 실행

나머지는 프로세스가 종료되고 rundll32.exe와 wiseman.exe process는 계속 실행이됨

⇒ 인터넷 연결까지 계속 스레드가 작동하는것으로 추정

System Explorer

프로그램 실행 전 후의 스냅샷으로 바뀐 파일 확인

→ 꼭 관리자 실행으로해야함. 일반 실행시 변경점을 찾을수 없음

• dgrep.exe는 자동으로 삭제
• 1.txt
  • dgrep 이 실행된 시간이 표시됨
• eryfcfy 폴더생성 → 매번 실행시 랜덤한 파일명으로 생성
  • 하위에 두개파일이 같이생성
• Wiseman.exe 생성

실제 탐색기 화면. 폴더는 숨김 처리 되어있음

wireshark

107.163.241.198:6520 의 IP로 TCP 연결을 하기위해 SYN 을 보냈지만 응답이 없음

rundll32.exe 의 명령에 따라 계속 재전송을 요청함

⇒ 현재 107.163.241.198은 비활성화

Autoruns

위의 두 파일이 시작 프로그램에 등록되어 있는것을 확인

재부팅해도 사라지지 않고 프로그램을 실행시킴

결론

• dgrep.exe는 trojan과 backdoor의 성격을 가진 악성코드
• 실행시 cmd.exe를 통해 이용하여 실행파일을 생성하고 dgrep.exe는 삭제하여 은닉
• rundll32.exe 와 wiseman.exe를 차례로 실행하여 외부 웹사이트와 클라우드에 연결하여 데이터를 받아오거나 보낼 것으로 추정
• autoruns 에 등록된것으로 볼때 시스템 종료후에도 계속 작동될 확률이 높음
• 활성화되는 실행파일은 2개

대응방안

1. 외부와 통신을 하는 악성코드이므로 즉시 인터넷 차단
2. 연결을 시도하는 ip, 클라우드 차단
3. 패킷 분석을 통해 어떤 데이터가 수신,발신되었는지 확인하여 2차 피해 차단
4. rundll32.exe, wiseman.exe를 찾아 강제 종료 및 삭제
5. 관련 실행파일 삭제

•