실전 악성코드와 멀웨어 분석 실습 3-2

기초 동적 분석 도구를 이용해 Lab03-02.dll 파일에서 발견된 악성코드를 분석하라.

 

 

 

1. 악성코드 자체가 어떻게 설치됐는가?

 

이 파일은 dll이기 때문에 rundll32.exe를 통해 export하는 함수 중에서 실행과 관련된 함수를 찾아서 실행시켜야 한다.

따라서 export 목록을 찾아야 한다.

 

Lab03-02.dll의 Export 함수

 

서비스와 관련된 것으로 추정된 함수들도 보이고, 설치에 관련된 함수들도 보인다.

 

 

 

 

이 파일의 Import 내용이다. 위의 dll 외에도 WS2_32.dll도 임포트하고 있다.

ADVAPI32.dll에서는 서비스와, 레지스트리에 관련된 함수를 임포트하였고,

KERNEL32.dll에서는 파일과, 디렉터리 경로, 시간과 관련된 함수들을 임포트하였다.

WININET.dll에서는 인터넷과 http통신과 관련된 함수를 임포트하였다. 이와 더불어 WS2_32.dll 까지 임포트 한 것으로 보아 네트워크 기능을 하는 프로그램이라고 추측할 수 있다.

 

조금 더 자세히 알아보기 위해 문자열을 확인 해 보았다.

 

 

 

 

레지스트리 위치와, 도메인명, serve.html 등의 문자열이 보인다.

 

 

 

 

2. 설치 후 악성코드를 어떻게 실행할 수 있는가?

 

 

 

rundll32.exe를 통해 악성코드를 설치해 주었다.

installA라는 인자는 위에서 확인한 export 함수였다.

 

 

 

 

 

 

3. 악성코드가 동작할 때 어떤 프로세스를 발견할 수 있는가?

 

dll파일이 동작을 다 하고 종료되었기 때문에 서비스를 다시 시작하는 명령어를 통해 실행시킨 후에, Process Explorer로 확인해야 한다.

 

 

 

 

svchost.exe 프로세스에서 실행되고 있는 것을 확인하였다.

 

 

 

 

 

4. 정보를 수집하는 ProcMon을 사용하기 위해 어떤 필터를 설정했는가?

 

 

위에서 확인했듯이, dll 파일이 svchost.exe에서 실행중이므로 해당 PID인 1048을 필터로 설정하였다.

 

 

 

 

 

 

5. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?

 

 

IPRIP라는 키가 추가 되었다.

 

1

2

 

그리고 그 하위 키에 위에서 보이는 값들이 추가되었다. 

악성코드가 dll 파일이므로 실행되려면 exe파일이 필요하다. 그래서 1에서 ImagePath를 svchost.exe로 설정하여 해당 프로세스 내에서 실행되게 만들었다.

DisplayName을 Intranet Network Awareness (INA+)로 설정하여 해당 이름으로 보이게 만들어 정상적인 이름으로 보이게 하였다. 또한, Description의 내용 역시 이름에 맞게 설정해 놓았다. 이 둘을 호스트 기반 표시자로 볼 수 있다.

 

 

레지스트리에 해당 값이 등록된 것을 확인할 수 있다.

따라서, 설치한 서비스인 IPRIP와 그것의 DisplayName, Description가 해당된다.

그리고,  악성코드는 자신을HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\ServiceDll:%CurrentDirectory%\Lab03-02.dll 위치에 영구적으로 설치한다.

 

 

 

 

 

6. 악성코드에서 유용한 네트워크 기반 시그니처가 존재하는가?

 

 

와이어샤크로 패킷을 확인해 보았다. 임포트 함수에서 확인했듯 HTTP 프로토콜을 사용하므로, 위에서 봤던 문자열인 practicalmalwareanalysis.com에서 GET으로 serve.html을 가져오는 것을 알 수 있다.

 

 

 

 

netcat으로 80번 포트를 리스닝하여 확인한 결과 위에서 확인했듯이 악성코드는 80번 포트를 통해서 HTTP GET요청을 하고 있다. 여기서 User-Agent는 앞부분의 ie8winxp같은 경우에 사용자의 환경이지만, 뒤의 Windows XP 6.11은 문자열에서 확인한 바와 같이 고정된 값이므로 네트워크 구분자가 될 수 있다.