1. 파일이 패킹되거나 난독화된 징후가 있는지 알아보기
PEID 로 열어서 확인 해 본다.
→ 패킹은 되어있지않고 C++ 로 컴파일 되어있다
2. 이 프로그램은 언제 컴파일 되었는가
→ PEview 로 열어서 확인한 결과 컴파일 시간이 2019년 8월 30일이라는 것을 알 수 있는데 이 문제가 만들어진 연도가 로 미루어 보아 이는 조작된 시간임을 추측해 볼 수 있다.
3. 임포트를 통해 악성코드 행위를 감지할 수 있는가?
→ AdjustTokenPrivileges, LookupPrivilegeValueA, OpenprocessToken 의 함수로 보아 보호된 프로세스접근에 대한 토큰의 권한을 상승시켜 Injection, Hooking 같은 공격을 시도할 것으로 보인다.
→ CreateFile, WriteFile, MoveFile 등을 사용하는 것으로 보아 파일을 생성하고, 쓰고 옮겨놓는 것으로 알 수 있다.
→ FindResource, LoadResource 등의 함수를 쓰는 것으로 보아 파일 내의 Resource를 사용하는 것으로 보여진다.
4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
→ \system32\wupdmgr.exe 가 있는 것으로 보아 다음 파일의 경로를 받아올 것임을 알 수 있고, 다음의 url은 추가 악성코드를 저장하고 다운로드를 준비하는 것으로 예상된다.
5. 이 파일은 리소스 색션에 하나의 리소스가 있다. Resource Hacker 를 이용해 리소스를 점검하고 리소스를 추출해 보자. 리소스로부터 무엇을 알 수 있는가?
Resource Hacker 가 아닌 Hxd 로 파일을 열어서 MZ(파일 시그니처) 로 시작되는 곳부터 마지막까지 복사하여 test 라는 이름으로 따로 저장해 주었다.
→ URLMOD.DLL의 URLDownloadToFile 함수로 보아 찾은 URL 에서 파일을 다운받음을 알 수 있다.
→ GetTempPath, GetwindowsDirectory 함수로 보아 특정 임시파일이나 디렉토리의 경로를 받아올 것임을 알 수 있다.
6. 결론
다음의 파일은 wupdmgr.exe 의 경로를 받아와 실행하고, 추가 리소스는 url에서 특정 파일을 다운받아 그 파일을 시행함을 알 수 있다.
'Reversing > 윈도우 악성코드' 카테고리의 다른 글
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -2 (0) | 2021.02.02 |
---|---|
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -1 (0) | 2021.01.28 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-04] (0) | 2021.01.26 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-03] (0) | 2021.01.16 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-01] (0) | 2021.01.06 |