[2주차] 악성코드 분석

26 Mar 2024 Self-study Writeup

Image

아이다로 열었는데 해당 툴로 분기문 참거짓까지 확인하기 어려워서 그냥 무조건 다음 프로세스가 많은 곳으로 가서 분석했다.

Image

Image

calldll이라고 rename한 함수가 있다. 서브루틴들은 접은 글로 정리했다.

더보기
![Image](https://blog.kakaocdn.net/dna/bp5OdV/btsF2NtnbBR/AAAAAAAAAAAAAAAAAAAAAOzU8_TM3K6Lz5BdMk-gW_VMuhZDIAooUBIhnx7eEJbb/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=SCzgTzY8F2U5Sd6hbabj2gOHMp4%3D) GetSystemDirectoryW는 시스템 디렉토리의 경로를 검색한다. 버퍼에 데이터를 작성한다. 하고 해당 파일을 Load 하는 거 같다. sub_406694 내용은 접은글 >> address로 rename
더보기
![Image](https://blog.kakaocdn.net/dna/bltbKA/btsF4T7nBgn/AAAAAAAAAAAAAAAAAAAAAEAAxzwd3KJVSUyqZQWl--7a5Gc7lIvPdpG9g2hQzvvB/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=l0yqhXEidXhLIAe82t3UTdDlt%2FQ%3D) 불러온 파일의 address를 얻는 거 같다.
![Image](https://blog.kakaocdn.net/dna/HrsfU/btsF3FhoDAk/AAAAAAAAAAAAAAAAAAAAADYS4QftzE4JIWle5psVwmgj_5udi_sWr5WQ2EP3kAtx/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=Usx96i88n7diSvtqFTtDIwEV6rg%3D) OleInitialize가 어떤 함수인지 찾아봤는데 OLE라는 개체가 있는 거 같다. 윈도우에서 어떤 개체가 포함된 문서를 만들고 편집할 수 있는 기능을 말하는 거 같다. Object Linking and Embedding의 약어로, 찾아보니까 어떤 외부의 object에서 링킹을 하는 거기 때문에 해당 방법으로 악성 스크립트를 꺼내오지 않을까 싶다. SHGetFileInfoW는 uflags에 따라 결과가 달라지므로 나중에 동적분석에서 확인해야될 거 같다. sub_4062BA는 접은글
더보기
![Image](https://blog.kakaocdn.net/dna/roi0R/btsF5vrJG25/AAAAAAAAAAAAAAAAAAAAADRoEPtY0AoHuFipfAepw-WiJpj-UafTvQvyTagUwZln/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=UxKzZwtZImteU50o0qGrIosJHF8%3D) string cpy하는 함수라 cpy로 rename
![Image](https://blog.kakaocdn.net/dna/bqHAqh/btsF5TeFgC5/AAAAAAAAAAAAAAAAAAAAADGmU0XAdiSR2aMLBjlAxg3n3siCU7vV8fn2bH86t_iP/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=sTKZVc3xkkfFLSd27eFf1cKnv3g%3D) 이 이후에는 자꾸 뭔가를 cmp하는 명령어가 계속 나오는데 char가 맞게 나오는 건지 확인하는 거 같다. 자세히 분석하지는 않고 생략해서 넘겼다. ![Image](https://blog.kakaocdn.net/dna/oDDuu/btsF2NNE93S/AAAAAAAAAAAAAAAAAAAAANOIkgtr286pXIbL6z1BXkCrLVvY65BCGn3DiwWd3k0z/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=5ne1IX6IVfHGTq6v%2BMvZk8G4Iek%3D) GetTempPathA를 이용해서 drop하는 거 같다. ![Image](https://blog.kakaocdn.net/dna/kR3nv/btsF6J3UuNc/AAAAAAAAAAAAAAAAAAAAAC5-7KSALy97CE96zbjNmEBZNKAS7RU7BNqboe8G-niX/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=a9Oqb7Fk9ADR%2BuPatHfomFdOrvU%3D) SetEnvironmentVariableW로 어떤 환경변수를 참조한다. 이 함수로 어떤 악성 행위를 실행하지 않을까...라고 생각해본다. ![Image](https://blog.kakaocdn.net/dna/AhFYV/btsF3nVnPXj/AAAAAAAAAAAAAAAAAAAAAADqiSFIZIrr4i8FP51J0qKWcDlrS09wwho6tXGv4War/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=bcv8UALMdirwv5JaronaMRBpaOU%3D) DeleteFilew로 흔적을 지우는 거 같다. ![Image](https://blog.kakaocdn.net/dna/yE5Ky/btsF5Cdcd2Y/AAAAAAAAAAAAAAAAAAAAAPNWClqfBUiE7Hk5tPCKncLeveio3CYtmKh4A7UrfQ_g/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=0cpJdR2TPt%2FfALXPkf0ZU9qphwQ%3D) ![Image](https://blog.kakaocdn.net/dna/wa53K/btsF6JQk9Jy/AAAAAAAAAAAAAAAAAAAAALT2vW2fiYCWOrOVib56C2BpssC9wknq26kMxBQTsMI5/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=P74v0%2BEEPBGS1%2Bb1wrbn1dJ08ec%3D) 어떤 tmp파일을 보는 거 같다. 양쪽 분기문 sub_4057F1과 sub_40586E 둘 다 어떤 security 관련한 함수를 쓴다.
더보기
![Image](https://blog.kakaocdn.net/dna/bmQrkV/btsF3fwns0x/AAAAAAAAAAAAAAAAAAAAAJmMCbWfecxnkPDbKU29lC-X3RkceTrP_mkiI_5dY8Nr/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=sneF6kZkDb5f2QxZmvh%2Fy61zmq0%3D)
![Image](https://blog.kakaocdn.net/dna/cQBTDW/btsF5EPv7OL/AAAAAAAAAAAAAAAAAAAAAKtgmfjgTdVzgFVu5Wb5vCvT4KqS_zFmjASz0q_9B2__/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=NFyyFr59N0A5fxKmLm5TWGMdV5c%3D) 위에 SearchIndexer.exe 파일도 악성행위로 사용되는 프로그램 같다. 아래 보면 protocolhost, filehost 등을 검색하는 거 같다. ![Image](https://blog.kakaocdn.net/dna/I2Ks5/btsF7vdG8g0/AAAAAAAAAAAAAAAAAAAAALuRvOLUWrM18etsiqoc6RYTbZ8KGs8hX4Q-NXkxdCnM/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1769871599&allow_ip=&allow_referer=&signature=Zoj29fEbcdly%2F2E4CLuLUDg4kKo%3D) 정말로 system32 폴더에 존재한다. vmem 파일로 정확히 어떤 cmd를 입력했고 ps, net scan을 해봐야 더 자세히 알고 다시 동적 분석으로 돌아올 수 있을 거 같다.
 malware analysis  dynamic analysis  reverse engineering