[Malware] BoSSaBot

* 개인적은 스터디 목적으로 작성한 글이므로 분석이 잘못되었을 수 있습니다. 혹여나 잘못된 점이 있다면 가감없이 지적해주세요.

 

MD5 : 0bbc8562e350c55eaffef335079c9ec9

SHA-1 : e97cf7ef0f9ec50d481f65180c006ad43fb1021f

Filetype : ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.2.5, stripped

 

windows 가 아닌 리눅스 실행파일이며, UPX packer 가 적용되어 있다. 간단한 검색을 통해 Linux UPX Unpacker 를 구할 수 있다.

 

함수를 쫓아가다보면 다음과 같이 특정 도메인 정보를 얻어오고, ioctl() 함수를 통해 무언가가 이루어지는 듯 하다..

 

결과적으로는 45.120.153.79:8067 서버와 [sshd] 통신을 하고 있다.

nmap 을 통해 스캐닝을 해봤지만 오래된 악성코드라 서버가 정상 동작을 하지 않는 듯 하다.

 

BoSSaBot 의 내부 함수들을 살펴보면 그림과 같은 정보들이 나오는데, 내부적으로 랜덤한 서버에 대한 스캐닝을 하고 PHP-CGI 취약점(CVE-2012-1823)을 통해 전파시키는 것 같다.

명령어를 보면 con32.cz.cc 웹 서버에서 파일을 다운받아 실행시키는 코드 임을 알 수 있다.

 

con32.cz.cc 서버에서의 "4L2nJG5V" 파일을 받아서 분석은 못했지만, 내부적으로 해당 파일을 updating 하고 삭제시키는 기능들이 존재한다. "Miner" 라는 스트링이 보이는 것을 보니 가상화폐 채굴 역할을 하는 프로그램인 듯 하다.