악성코드 샘플 분석 1

목차

• Virustotal
• Exeinfo
• Bintext
• Autoruns
• Process monitor
• Wireshark
• Smartsniff
• 결론

 

virustotal

 

• 방향성 목적 virustotal 조회
• 위협 카테고리상에서 주로 트로이목마나 adware로 주로 탐지됨

 

 

• 4개의 url과 연결되도록 함.
  • 뒤에 kr로 보아 한국 도메인에 속한 사이트로 연결되도록 하는 것
• 여러 도메인과 연결되도록 코딩됨.
  • 6개의 도메인과 통신되는 것을 확인

 

whois 사이트

 

• 후이즈에 조회 결과, 해당 사이트는 한국 도메인에 현재 등록되지 않는 상태
• 참고로, login.live.com 은 마이크로소프트 로그인창으로 확인

 

 

• 여러개 IP랑 연결되도록 코딩됨을 확인
• 이중 20.99.184.37과 23.216.147.64이랑 76과 뭔가 통신됐다는 것이 탐지

 

Virustotal 결론

 

• 해당 파일은 adware나 트로이목마 악성코드로 추정됨
• 특정 사이트들이나 IP로 통신되도록 설정한 파일같음
  • 사이트는 a-ton.co.kr로 연결되도록 하며, 특정 도메인 6개에서 통신 확인
  • a-ton.co.kr은 현재 사이트가 없는 상태
  • IP 3개 통신하고 있는 것으로 보임
  • 해당 IP들 모두 바이러스토탈과 Ipconfig 사이트에서 찾아보니 모두 미국쪽 IP로 나옴
  • 20.99.184.37: 미국 버지니아, 23.216.147.64, 76: 미국 워싱턴
• 즉, 사용자가 알아차릴 수 없게 adware나 트로이목마를 통해 숨어서 사용자 몰래 특정 정보를 빼내서 해당 IP를 가진 단말로 보내는 스파이웨어 특성도 생각해볼 수 있음
• 나아가 a-ton.co.kr이라는 한국 사이트에 연결되도록하여 해당 사이트를 통해 사용자 정보를 빼낸뒤, 위 IP들로 정보를 보내도록 하는 것으로 의심

 

Exeinfo

언패킹 상태이며, C++로 코딩됨을 확인

 

 

 

• netapi32: 운영체제에서 지원하는 다양한 통신 기능을 응용 프로그램이 접근할 수 있도록 지원
• wsock32: TCP/ip 통신하는데 쓰이는 모듈
• kernel32: 메모리 관리, 파일 입/출력, 프로그램 코드/실행 등 기본적인 기능이 내장

 

Exeinfo 결론

• kernel32를 통해 백도어를 형성하여 netapi32, wsock32를 이용하여 외부와의 통신이 의심됨

 

Bintext

 

• bintext에서 exeinfo에서 보았던 dll 파일과 virustotal에서 보았던 http://a-ton 이라는 도메인도 확인 가능 
• Exeinfo에서 확인한 DLL도 발견
• 그러나, virustotal에서 봤던 IP들은 확인되지 못함.

 

 

Bintext 결론

• Exeinfo에서 보았던 IP는 확인되지 않았으며, 통신 의심하던 a-ton 사이트가 있었음.
• 그러나 앞서 봤듯이, a-ton 사이트는 현재 등록되어있지 않은 상태며, 실제로도 해당 사이트를 검색해보면 안나옴

 

Autoruns

 

악성코드 실행 전

 

 

악성코드 실행 전

 

악성코드 실행 전

 

악성코드 실행 후

 

악성코드 실행 후

 

Autoruns 결론

• bton02setup 프로그램은 레지스트리에 눈에 띌만한 변화를 일으키지 않음

 

Process monitor

 

악성코드 실행 전

 

악성코드 실행 직후

 

 

악성코드 실행 후 몇 초 뒤

Process monitor 결론

프로세스 상에 잠깐 떴다가 사라짐. 그 이후 큰 변화 없었음

 

 

Wireshark

 

ip = 23.216.147.76

 

ip = 23.216.147.64

 

ip = 20.99.184.37

 

 

virustotal에서 봤던 3개의 IP들을 목적지 IP로 설정해서 조회해봤지만, 통신이 딱히 없었음.

 

 

smartsniff

 

 

smartsniff 또한 필터 적용해서 확인해보았으나 통신 확인 못함.

 

 

결론

• virustotal 결과, adware 및 트로이 목마로 추정되는 프로그램이라고는 방향성을 가지고 시작
• 여러 IP 및 도메인과 연결되는 것으로 추정
• Exeinfo 및 Bintext를 통해 해당 프로그램이 메모리 변조 및 백도어 형성 후, 외부와의 통신을 시도할 것 같은 DLL를 발견
• 실제로 동적 분석을 통해 알아봤으나, process 상에서나 레지스트리 상에서나 큰 변화점이 안보였음
• 나아가, wireshark 및  smartsniff 를 통해서도 확인해봤으나, virustotal에서 의심했던 IP를 대상으로 조회해보았을 때, 해당 IP들과의 통신은 존재하지 않았음.
• 즉, 정적 분석을 통해 의심가는 공격들 위주로 동적 분석에서 살펴보았으나 큰 변화점은 없어 당장은 유해성이 없는 프로그램으로 인식
• 그러나 나중에 특정 사이트에 들어가거나 특정 프로그램을 실행시키면 조건반사로 실행될 우려가 있으므로 해당 악성코드를 트로이목마로 추정.
• 예방법: 
  • 소프트웨어 주기적 업데이트
  • 이메일이나 텍스트 메세지 링크나 첨부파일 클릭x
  • 토렌트 사이트 이용 자제
  • 의심스러운 웹사이트 이용 자제
  • USB나 외장형 드라이브를 사용하기 전에는 백신 소프트웨어로 스캔,  실시간으로 보호 받기를 원한다면 바이러스 위협 방지 툴을 사용
  • 다운로드 전 멀웨어를 스캔하고 악성 광고 클릭을 방지하는 등 위협이 장치에 도달하는 것 자체를 방지하는데 효과적인 방법