Lab11-02.dll에 있는 악성코드를 분석하자. Lab11-02.ini라는 의심 파일 역시 이 악성코드와 함께 발견됐다고 가정한다.
1. 이 DLL 악성코드에서는 무엇을 익스포트하는가?
installer라는 함수를 익스포트하고있다.
2. rundll32.exe를 이용해 이 악성코드를 설치한 이후 어떤 일이 발생하는가?
아래는 installer 함수를 분석한 것이다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 키에 spoolvxx32.dll 이라는 이름으로 자기 자신을 등록하여 영구적으로 설치한다.
또한 spoolvxx32.dll이라는 이름으로 시스템 디렉터리에 자신을 설치한다.
3. 악성코드를 올바르게 설치하기 위해서는 Lab11-02.ini가 어디에 위치해야 하는가?
서브루틴 1000105B는 시스템 디렉터리를 버퍼에 받아오는 역할을 한다.
Lab11-02.ini는 시스템 디렉터리에 위치해야 한다는 것을 알 수 있다.
4. 이 악성코드는 어떻게 지속성을 유지하는가?
2번에서 확인했듯, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 키에 spoolvxx32.dll 이라는 이름으로 자기 자신을 등록하여 영구적으로 설치한다.
따라서 User32.dll이 로드될 때마다 함께 로드된다.
5. 이 악성코드는 어떤 사용자 공간 루트킷 기법을 사용하는가?
인라인 후킹 기법을 사용하였다. 인라인 후킹은 임포트된 DLL에 포함된 API함수 코드를 덮어쓰므로 DLL이 실행을 위해 로딩될 때까지 기다려야 한다.
6. 후킹 코드는 무엇을 하는가?
위는 후킹 코드의 일부이다. send 함수로 외부로 나가는 패킷에 RCPT TO: 를 담고있는 이메일이 있는지 확인해서 있다면 악의적인 이메일 계정을 추가한다.
7. 이 악성코드는 어떤 프로세스를 공격하며, 그 이유는 무엇인가?
THEBAT.EXE, OUTLOOK.EXE, MSIMN.EXE 등 메일 프로세스에 대해서 공격이 이루어진다.
악성코드는 이들 중 하나라도 실행되지 않는다면 후킹 함수를 설치하지 않는다.
8. ini 파일의 역할은 무엇인가?
내용을 확인한 결과 알아보기 힘들었다. 따라서 암호화 혹은 난독화 된 것이라고 추측할 수 있다.
난독화를 해제하는 루틴으로 추측되는 서브루틴이다. 이를 통과하고 나면 billy@malwareanalysisbook.com이라는 문자열임을 알 수 있다.
'악성코드분석 > 실전 악성코드와 멀웨어 분석' 카테고리의 다른 글
| 실전 악성코드와 멀웨어 분석 실습 12-1 (0) | 2022.11.09 |
|---|---|
| 실전 악성코드와 멀웨어 분석 실습 11-3 (0) | 2022.10.30 |
| 실전 악성코드와 멀웨어 분석 실습 11-1 (0) | 2022.10.26 |
| 실전 악성코드와 멀웨어 분석 실습 9-3 (0) | 2022.01.09 |
| 실전 악성코드와 멀웨어 분석 실습 9-2 (0) | 2022.01.08 |