악성코드샘플 분석 (2)

보완하여 업로드하였음.

 

기초 분석

 

[그림 1] Virustotal 분석 결과 (1)

 

Virustotal에 악성 샘플을 업로드하였을 때

- 68개의 백신 중 58개의 백신에서 악성코드라고 진단하였다.

- Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였다.

- 많은 백신이 Backdoor,Trojan 으로 악성코드 진단을 하였다.  

- 인증되지 않은 사용자에 의해 컴퓨터의 기능이  무단으로 사용될 수 있도록 설치된 통신 연결 기능인 백도어와 정상적인 파일로 위장하여 악의적인 기능을 수행하는 트로이 목마 성격을 가지고 있었다.

 

[그림 2] Virustotal 분석결과 (2)

 

-Window 환경의 실행파일(exe)을 확인할 수 있다.

-PEiD 툴을 통해서 SVKProtector로 패킹이 되어 있고 UPX로 한번 더 패킹이 되어있는 것 같다고 추측해볼 수 있었다.

-vbscript.dll, dgrep.exe 등 여러 다른 파일명으로 불렸으며 많은 사용자들에게 업로드되었다는 것으로 판단할 수 있었다.

 

[그림 3] Virustotal 분석결과 (3)

 

 

- 해당 악성파일로 인하여 접촉되었던 URL과 도메인 이름에 api.wisemansupport.com와 api.admatching.co.kr 이 있으며 적지 않은 백신이 악성으로 진단한 것을 확인하였다. 

 

정적 분석

 

Exeinfo PE (패킹여부 확인)

[그림 4] Exeinfo PE에 파일을 검사한 결과

 

- 패킹이 되어있다는 것과  Quick unpack v2.3 이나 RL!dePacker v1.5을 사용하여 언패킹을 할 수 있다는 것을 확인했다.

 

PEiD (패킹여부 확인)

[그림 5] PEiD에 파일을 검사한 결과

 

 

-SVKP 로 패킹이 되어있다는 것을 확인할 수 있다.

 

Gunpacker (언패킹)

[그림 6] Gunpacker로 언패킹 진행

 

- SVKP 패킹을 언패킹할 수 있는 툴인 Gunpacker로 언패킹을 진행하였다.

 

[그림 7] PEiD에 언패킹된 파일을 검사한 결과

 

-언패킹된 파일을 PEiD 툴로 확인했을 때 C++ 언어로 작성되었다는 것과 언패킹이 제대로 완료되었다는 것을 확인하였다.

 

Bintext (파일 내 문자열 확인)

[그림 8] Bintext에 파일을 스캔한 결과

 

-wiseman.exe 과 rundll32.exe 실행파일을 동작하게끔 한다는 것과 명령 프롬프트 cmd창을 실행시켜서 네트워크 상태와 속도를 점검하는 ping 테스트를 한다는 것을 추정할 수 있었다. 

-RedTom21@HotMail.com  이메일과 관련이 있다는 것도 확인했다.

 

[그림 9] Bintext에 파일을 스캔한 결과 (2)

 

 

- 파일 시스템, 메모리, 프로세스 관련 작업을 처리를 위한 kernel32.dll

윈도우에서 마우스 움직임, 그림, 화면 등 그래픽 관련 gdi32.dll

C 표준 라이브러리 함수 구현을 포함하는 MSVCRT.dll

윈도우 유저 인터페이스 관련 함수를 구현하는 user32.dll

네트워크 관련 작업을 수행하는 WS2_32.dll 등의 dll 파일을 가져와서 사용한다는 것을 확인했다.

 

PEview (PE 구조 확인)

[그림 10] PEview에 파일 분석 결과(1)

 

-DOS에서 .exe 실행파일에서 사용되는 파일형식인 MZ 시그니처를 가지고 있음을 확인했다. 

-“This program cannot be run in DOS mode”라는 것을 보아 이 프로그램은 DOS 에서 실행할 수 없고 Window 환경에서 실행해야함을 알 수 있었다.

 

[그림 11] PEview에 파일 분석 결과(2)

 

- Time date stamp를 통해 2015년 10월 9일에 파일이 생성되었다는 것을 확인했다.

 

 

 

[그림 12] PEview에 파일 분석 결과(3)

 

 

- UPX0 섹션과 UPX1의 섹션의 데이터에 접근하기 위한 정보를 담은 IMAGE SECTION HEADER에서 패킹된 파일은 메모리에서 차지하는 섹션의 크기인 Virtual size가 파일에서 섹션이 차지하는 크기인  Size of Raw Data보다 큰 값을 보였는데 언패킹된 파일에서는 위 사진처럼 두 값이 동일한 것으로 보아 언패킹이 잘 이루어졌다는 것을 확인할 수 있었다.

 

[그림 13] PEview에 파일 분석 결과(4)

 

- 해당 파일이 내장하고 있는 dll 을 확인할 수 있었다.

-네트워크 기능, 네트워크에 연결하거나 네트워크 관련 작업을 수행하는 WS2_32.dll이 포함되어 있는 것으로 보아 네트워크 행위를 할 수 있다고 추정할 수 있었다. 

 

동적 분석

 

악성코드 실행

[그림 14] 악성코드 실행 전

 

▼

 

[그림 15] 악성코드 실행 후

 

- 파일을 관리자권한으로 실행한 결과 파일이 스스로 삭제되었다.

원본파일이 삭제된 것으로 보아 트로이목마에 해당하는 악성코드의 성격을 가지고 있는 것으로 보였다.

Process Explorer (실행중인 프로세스 관찰)

 

[그림 16] Process Explorer 의 실행 결과

 

-  cmd를 통해서 ping을 실행시키고 rundll32.exe와 wiseman.exe를 실행시키는 것을 확인했다. 

- Bintext를 통해서 cmd.exe / ping / rundll32 /wiseman 같은 문자열을 확인했었는데 실제로 Process explorer를 통해  동일한 프로세스를 확인할 수 있어 더 확실하게 악성코드가 하는 행위라고 추정할 수 있었다.

 

[그림 17] Process Explorer 의 프로세스 속성 확인

 

 

- rundll32.exe은 통신을 하고자 syn을 보낸 상태였으며  네트워크 활동을 하려는 것으로 추정할 수 있었다.

- wiseman.exe는 동작을 하려고 했다가 동작이 되지 않은 상태이거나 동작을 완료하고 종료시키는 것으로 보이는 상태인 close wait(종료대기) 상태임을 확인할 수 있었다.

Process Monitor (프로세스 동작 실시간 확인)

 

 

[그림 18] Process Monitor의 실행 결과와 프로세스 트리

 

 

-  wiseman.exe와 rundll.exe 파일이 tcp 연결을 시도하는 것을 볼 수 있었다.

- dgrep.exe 파일을 실행시키면 cmd파일을 실행시키고 cmd를 통해서 ping 명령을 하는 등

dgrep-cmd-ping-zdtwx-rundll32-taskkill-wiseman 순차적으로 악성파일을 실행시키는 것을 확인할 수 있었다.

 

- Bintext와 Process Explorer를 통해 확인했던 부분들을 다시 한번 확인함으로써 악성코드가 하는 행위라는 것을 더 확신할 수 있었다.

 

 

Autoruns (윈도우 시작 프로그램  확인)

 

[그림 19] Autoruns를 이용하여 레지스트리 변화 확인

 

-  pc가 재부팅 될때마다 자동으로 시작되게끔 설정되어지는 레지스트리에 EvtMgr과 Wiseman이 포함되었다는 것을 알 수 있었다.

 

System Explorer (파일,레지스트리 변화 확인)

[그림 20] System Explorer 스냅샷을 이용하여 악성코드 실행 전후 비교

 

-  EvtMgr과 wiseman.exe 파일이 추가되었다는 것을 한번 더 확인할 수 있었다.

 

Currports (현재 네트워크 상태 확인)

[그림 21] Currports의 실행 결과 (1)

- Rundll32.exe는 107.163.241.198라는 주소지와 통신을 하려고 syn을 보내놓은 상태임을 알 수 있었다.

 

[그림 22] Currports의 실행 결과 (2)

 

-wiseman.exe은 3.35.144.12라는 원격주소지와 관련이 있고 동작을 하려고 했다가 동작이 되지 않은 상태이거나 동작을 완료하고 종료시키는 것으로 보이는 상태인 close wait(종료대기) 상태임을 확인할 수 있었다.

 

Smsniff (네트워크 패킷 간 통신정보 확인)

 

[그림 23] Smsniff의 실행 결과

 

- api.wisemansupport.com와 관련이 있으며 3.35.144.12  원격 IP주소에 http 패킷을 보내는 것으로 보인다.

- GET메소드를 이용하여 요청하고 있었으며 서버가 요청받은 리소스를 찾을 수 없다는 것을 의미하는 404 Not Found 상태코드를 나타내고 있었다.

Wireshark (네트워크 패킷 캡쳐 및 분석)

 

[그림 24] Wireshark의 실행 결과 (1)

 

- 107.163.241.198을 검색하여 패킷 필터링을 하였을 때 107.163.241.198으로 syn패킷을 전송하려 하지만 비정상적으로 연결이 끊어지는 것을 확인할 수 있었다.

 

[그림 25] Wireshark의 실행 결과 (2)

 

-3.35.144.12를 검색하여 패킷 필터링을 하였을 때 악성코드로 추정되는 도메인 주소를 통해서 통신을 하고 있는 과정을 볼 수 있고 호스트명이 api.wisemansupport.com라고 적혀있는 것을 봤을 때 악성코드가 하는 행위로 추정할 수 있었다.

 

-smsniff에서 보았던 것처럼 GET메소드를 이용하여 요청하고 있었으며 이것은 해당 서버와 PC가 정상적으로 통신과 동작을 하고 있는 상태이지만  404 Not Found를 보아 해당 페이지를 찾을 수 없어 이 사이트는 정상적으로 작동하지 않고 있다는 것을 확인할 수 있었다.

 

결론

 

기초분석 했을 때 해당 악성코드는 대다수의 백신에서 악성코드로 진단하고 있다.

윈도우 환경에서 실행되며 Trojan,Backdoor 진단명을 갖고 있었다.

 

정적분석 시 패킹이 되어있어 언패킹을 진행하여 문자열을 확인했을 때 wiseman.exe와 rundll32.exe를 실행한다는 것 그리고 cmd를 이용하여 ping 테스트를 한다고 추정할 수 있었고 PE 구조를 확인했을 때는  exe 실행파일이며 2015년 10월 9일 만들어졌고 네트워크 행위를 할 수 있다는 것을 확인하였다.

 

동적 분석 시 파일을 실행시킨 후 즉시 삭제되면서  cmd를 이용하여 ping을 실행시키며 rundll32.exe와 wiseman.exe를 실행시키는 것을 확인했다. rundll32.exe는 107.163.241.198 그리고 wiseman.exe는 3.35.144.12와 통신을 시도했다. 107.163.241.198과의 통신은 비정상적으로 세션이 끊겨 연결이 안되는 것으로 보였고 3.35.144.12는 api.wisemansupport.com와 연결하여 악성행위를 하려는 것으로 보였으나  해당 페이지를 찾을 수 없다는 응답을 보이면서 제대로 활동하지 못하는 것으로 확인했다. 또한 pc를 시작할 때마다 실행되는 레지스트리에도 변화가 있는 것을 보아 시작프로그램에도 영향을 주는 것으로 보인다.

 

결론적으로 해당 악성코드는 실행하면 아이콘이 사라지고 사용자 몰래 악성행위를 하는 트로이목마와 사용자의 컴퓨터 기능을 무단으로 사용될 수 있도록 몰래 통신연결을 하는 백도어 형태로 보이며 현재 해당 서버와 PC가 정상적으로 통신과 동작을 하고 있는 상태이지만 해당 페이지를 찾을 수 없어 이 사이트는 정상적으로 작동하지 않고 악성코드의 네트워크 활동이 비활성화 되어있다고 추정된다.