'malware analysis'에 해당되는 글 5건

  1. 2018.08.28 GandCrab v4.3 Ransomware
  2. 2018.08.12 PAC(Proxy Auto-Config)를 이용한 파밍
  3. 2018.08.05 Process Hollowing 기법
  4. 2018.05.06 [Malware] BoSSaBot
  5. 2016.02.02 [Malware] TeslaCrypt Analysis

[1] Infomation

파일명 : [임의의 파일명].exe

크기 : 131,584 bytes

MD5 : 9f1aeca41d2da7ef2a441961077474f1

 

[2] GandCrab v4.3

GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다.

 

GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다.

추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다.

hxxp://memesmix[.]net/media/created/dd0doq.jpg


 

 

코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가된 것으로 확인된다.

V3 Lite 최신 버전부터는 해당 공격에 영향을 받지 않는다고 한다.

 

 

 

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다.

 

2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다.

PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다.

 

파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다.

 

※ hosts.ics

ics 파일은 인터넷 연결 공유(ICS : Internet Connection Sharing) 시 해당 시스템의 네트워크 주소를 강제로 지정하는 기능.

hosts.ics 파일은 hosts 파일보다 우선 순위가 높다. 따라서 hosts. 파일을 변조하지 않고, 파밍 기능을 수행할 수 있다.

 

※ PAC(Proxy Auto-Config)란,

: 별도의 프록시 서버 설정없이 특정 URL 에 대해 자동으로 프록시 설정을 해주는 스크립트이다.

 

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

Process Hollowing

: 정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법.

 

1. CreateProcess -> dwCreationFlags(CREATE_SUSPENDED(0x0000004))

프로세스 생성 시, CREATE_SUSPENDED 값을 인자로하여 대기 상태의 프로세스를 생성한다.

 

2. GetThreadContext

TheadContext -> Eip 레지스터를 얻어온다. 이후에 Entry Point 를 수정하기 위함.

 

3. ZwUnmapViewOfSection

대기 상태에 머물러 있는 프로세스에서, 정상 코드를 메모리 상에서 할당 해지한다.

 

4. VirtualAlloc, WriteProcessMemory

새로운 코드를 쓰기 위한 메모리 할당 및 코드 쓰기

 

5. setThreadContext

GetThreadContext 함수를 이용해 얻어온 Eip 레지스터 값을 수정하여, 새로운 코드 섹션 지정

 

6. ResumeThread

대기 상태에 머물러있는 프로세스의 실행 재개.

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

* 개인적은 스터디 목적으로 작성한 글이므로 분석이 잘못되었을 수 있습니다. 혹여나 잘못된 점이 있다면 가감없이 지적해주세요.

 

MD5 : 0bbc8562e350c55eaffef335079c9ec9

SHA-1 : e97cf7ef0f9ec50d481f65180c006ad43fb1021f

Filetype : ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.2.5, stripped

 

windows 가 아닌 리눅스 실행파일이며, UPX packer 가 적용되어 있다. 간단한 검색을 통해 Linux UPX Unpacker 를 구할 수 있다.

 

함수를 쫓아가다보면 다음과 같이 특정 도메인 정보를 얻어오고, ioctl() 함수를 통해 무언가가 이루어지는 듯 하다..

 

결과적으로는 45.120.153.79:8067 서버와 [sshd] 통신을 하고 있다.

nmap 을 통해 스캐닝을 해봤지만 오래된 악성코드라 서버가 정상 동작을 하지 않는 듯 하다.

 

BoSSaBot 의 내부 함수들을 살펴보면 그림과 같은 정보들이 나오는데, 내부적으로 랜덤한 서버에 대한 스캐닝을 하고 PHP-CGI 취약점(CVE-2012-1823)을 통해 전파시키는 것 같다.

명령어를 보면 con32.cz.cc 웹 서버에서 파일을 다운받아 실행시키는 코드 임을 알 수 있다.

 

con32.cz.cc 서버에서의 "4L2nJG5V" 파일을 받아서 분석은 못했지만, 내부적으로 해당 파일을 updating 하고 삭제시키는 기능들이 존재한다. "Miner" 라는 스트링이 보이는 것을 보니 가상화폐 채굴 역할을 하는 프로그램인 듯 하다.

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

TeslaCrypt

TeslaCrypt 랜섬웨어(Ransomware)는 2015년 1월 처음 발견된 악성코드로 기존의 CryptoLocker 랜섬웨어의 변종으로 알려져 있다. 시스템이 감염이 되었을 경우 존재하는 문서, 이미지, 미디어, CAD 등 185종의 다양한 확장자를 가진 파일을 암호화한다.

특히, 기존 랜섬웨어와는 다르게 Call of Duty, Star Craft 2, Minecraft 등의 50여종 게임 관련 파일을 타겟으로 삼았다. 

 

TeslaCrypt 는 계속해서 변종 및 더 강력한 버전으로 나오고 있으며, 버전에 따라 복호화 가능한 파일이 있다.

각 버전 정보는 이 사이트에서 간략하게 요약되어 있다.

http://sensorstechforum.com/remove-teslacrypt-rsa-4096-can-vvv-files-be-restored/ 

 

감염 경로

(1) 이메일 첨부 파일 실행

(2) 웹 사이트 접속 시 Angler EK, Nuclear EK, Sweet Orange EK 을 이용한 악성 웹 사이트로 리다이렉트

 

※ Exploit Kit 이란?

A. Exploit Kit 은 Exploit Pack 이라고도 불리며 Acrobat Reader, Adobe Flash Player, Web Browser 등의 어플리케이션 취약성을 이용하여 이메일, 웹 페이지 등으로 악성코드를 유포하기 위한 자동화 도구이다. 

 

 

감염 대상 파일

 

감염 대상 파일은 위 그림의 확장자 파일이며, 위 그림에는 없는 확장자가 더 있을 수 있다.

 

 

TeslaCrypt Analysis

분석 환경 : Windows XP Service pack 3

 

 

virustotal 에 올려보았다. 백신 엔진 56개 중 44개가 악성코드 임을 탐지했으며 이미 분석이 완료된 상태이다.

 

 

패킹 여부와 PE 정보를 분석해주는 툴을 이용한 결과는 위와 같다.

 

 

TeslaCrypt 랜섬웨어가 감염 시 시스템에 어떤 영향을 끼치는지 상세하기 알아보기 위해 직접 실행해보겠다..

혹여나 악성코드 분석을 하고자 하시는 분들은 반드시!! 가상머신에서 돌리기 바란다. VMware에 Snapshot 이라는 좋은 기능이 있다.

 

 

행위 분석 

악성코드를 실행하기 전에 Tcpview, Winalysis 도구를 사용하여 현재 레지스트리나 네트워크 정보들을 미리 저장해두었다.

 

 

악성코드를 실행하면 해당 확장자 파일을 모두 암호화한다. 그리고 확장자에 .ecc 가 붙는다.

암호화가 완료되면 위 그림의 프로그램이 피해자의 호스트에 실해된다.

위 프로그램에서는 RSA 암호를 사용하여 암호화했다고 하며, 파일을 복호화하기 위해서 비트코인을 요구한다.

 

 

배경화면도 바뀐 것을 확인할 수 있으며, 그림에서의 4개 파일이 생성되었다.

파일 이름은,

HELP_RESTORE_FILES.txt

HELP_RESTORE_FILES.txt

HELP_RESOTRE_FILES.bmp

Cryptolocker

라는 파일이 생성된다.

 

 

악성코드를 실행하면 원본 파일을 제거하고, tfsxvqe.exe 라는 프로그램을 실행한다. 파일이름은 랜덤한 문자를 가진다.

위에서 바탕화면에 생성된 CryptoLocker 파일은 tfsxvqe.exe 파일의 바로가기 파일이다.

이 파일의 위치는 C:\Documents and Settings\(유저명)\Application Data 이다. 이 위치에는 tfsxvqe.exe 파일 외에 log.html 파일과 key.dat 파일도 함께 있었다.

 

레지스트리 값 생성 및 변경

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 조작

 

프로세스 강제 종료

- procexp

- regedit

- msconfig

- cmd.exe

- ExEinfo PE

 

※ 악성코드 분석에 익숙하지 않기에 부족한 부분이 많다. 다른 자료도 함께 참조하기 바란다.

 

복구 방법

모든 TeslaCrypt 랜섬웨어에 대해서 복구할 수는 없다. 하지만 google, naver 검색을 통해 복구할 수 있는 툴을 다운받을 수 있으며, 방법을 소개하고 있다.

 

대응 방안

- 운영체제 및 각종 응용프로그램 최신 보안 업데이트

- 중요 문서 및 파일 주기적인 백업

- 신뢰할 수 없는 사이트 및 이메일 첨부 파일 실행 금지

- 사용자들의 보안 인식 개선 필수적!

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요