악성코드 분석 13

[2024.10.01]

 

[정적 분석]

> 분석 파일: Lab03-02.dll

 

01. 자동화 분석

 

> 분석 도구: virustotal.com

> 분석 결과: 62/72(V3 탐지, AlYac 탐지 못 함)

 

 

 

 

02. 패킹 여부 확인

 

> 분석 도구: PEiD, exeinfope

> 분석 결과: 패킹되어 있지 않음

 

 

 

 

03. PE 구조

 

> 분석 도구: PEView, pestudio

> 분석 결과

 

 

 

PEView로 확인 시 시그니처와 파일 헤더도 정상적으로 나오는 것을 볼 수 있다

 

 

테이블을 확인해 보면 각종 함수와 네트워크 시그니처가 확인된다

 

 

OpenServiceA: 서비스 제어 관리자 데이터베이스에 대한 핸들입니다.

 

 

pestudio에서도 PEView로 확인했던 라이브러리까지 확인된다

 

 

스트링으로 봤을 때에도 네트워크 시그니처 및 새로운 스트링도 확인할 수 있었다

cmd.exe와 svchost.exe와 같은 시스템 파일을 실행하여

악성 활동을 할 가능성이 있는 악성코드로 간주하고 있다

 

 

서비스 관련된 것도 나오기 때문에 바로 다음 서비스 매니저를 실행시키는 함수가 존재한다

IPRIP의 경우는 서비스 이름이라고 보면 된다

 

 

두 개의 도구에서 확인하지 못한 것을 스트링에서 다시 확인했을 때

해당 practicalmalwareanalysis.com에서 serve.html을 요청하는 것을 알 수 있다

 

 

앞에서 확인했던 스트링이 조금 더 상세히 나오는 것도 확인할 수 있다

Lab03-02.dll을 설치하고 

 

 

해당 서비스의 경우도 바로 위의 경로에 존재한다는 것을 알 수 있다

 

 

ollydbg로 확인 시에도 IPRIP를 확인할 수 있고, 그 윗부분에는 IPRIP에 대한 설명이 있다

 

 

함수 부분에서도 확인 시 별반 다를 건 없지만 함수를 이용해 어느 정도의 흐름을 파악할 수 있다

현재의 동향으로는 Lab03-02.dll을 실행하면 레지스트리에 복제되고,

실행이 되면 웹을 이용하여 접근을 하고

그 웹에서 serve.html을 요청하게 되는 흐름이다

 

 

04. Lab03-02.dll 파일 설치 및 실행

 

> Lab03-02.dll 파일을 c:\WINDOWS\system32 디렉터리로 복사

> 설치: c:\WINDOWS\system32\rundll32.exe Lab03-02.dll installA

> 실행: c:\net start IPRIP

> 중지: c:\net stop IPRIP

 

 

 

먼저 c:\WINDOWS\system32 디렉터리에 Lab03-02.dll 파일을 복사 붙여넣기를 진행한다

 

 

그런 다음 cmd 창으로 화면과 같은 명령어를 이용해 설치 후 실행한다

 

 

레지스트리 편집기에서 IPRIP가 있는 것을 확인한 다음

 

 

wireshark를 실행하게 되면 현재 www.practicalmalwareanalysis.com으로 로

요청을 보내는 걸 볼 수 있다

 

 

현재 포트 번호가 보이지 않기 때문에 Dest prot(unresolved)를

선택 후 NO.를 DPort로 설정한다

 

*Wireshark -> Edit -> Preference -> Columns

 

 

그렇게 옵션 수정을 하게 되면 오른쪽 부분에 포트가 나타나게 된다

 

 

wireshark에서 443 포트로 요청하는 것을 확인 후 잠시 중단시키고,

해당 경로의 hosts 파일에서 localhost를 화면과 같이 변경시켜 준다

 

 

hosts 파일을 수정한 후 cmd 창에서 nc를 이용해 443 포트로 요청을 보내고,

요청을 보낸 다음 이런 식으로 응답을 받으면 성공한다

 

 

80번 포트에서의 요청도 확인하기 위해 리부팅 시도 후에 다시 wireshark를 실행했다

실행 후 살펴보게 되면 현재 80번 포트로 serve.html을 요청하는 것을 확인할 수 있다

 

 

05. 이 파일의 목적은 무엇인가?

 

> www.practicalmalwareanalysis.com으로 'serve.html' 데이터 요청

 

 

 

강의 소감

오늘은 Lab03-02.dll에 대한 분석을 진행했다

정적 분석을 통해 자동화 분석 및 패킹 여부 확인, PE 구조 확인,

ollydbg 및 strings로 문자열 확인까지 끝마쳤다

그 후에는 해당 파일의 설치 및 실행을 이어서 진행했다

wireshark를 통해 악성코드의 진행 상황을 살펴볼 수 있었고,

또한 몇 번 포트로 요청을 보내는지 이 파일의 목적은 무엇인지까지 알아낼 수 있었다