Certlab_ -worm Analysis.hwp

Size: px

Start display at page:

Download "Certlab_ -worm Analysis.hwp"

은주 노
5 years ago
Views:

Email-Worm Analysis - - 2006. 12. 이강석 / certlab@gmail.

1 -Worm Analysis 이강석 / certlab@gmail.com 어셈블리어개발자그룹 :: 어셈러브

2 worm 분석과정을담고있는문서이고, 분석에쓰인악성코드는당연히첨부하지않았습니다. 첨부할시악성코드유포를하게되는것이고, 만약첨부하였더라도잘못관리하는경우가대부분이어서대신분석에쓰였던악성코드의 Strings 결과를첨부하였습니다. 처음이메일에첨부된파일이고, Message.com 악성코드대신 Strings 결과를 Message.txt 파일에저장하였습니다 Start 디렉토리 Message.txt Description.txt Message.com 은 UPX 로 Packing 되어있어 Unpacking 한파일의 Strings 결과를 Certlab_unpacked.txt 에 저장하였습니다. 악성코드가실행되면 regisp32.exe / windspl.exe 파일이생성되는데각각의 Strings 결과값 Strings 디렉토리 Certlab_unpacked.txt regisp32.exe.txt windspl.exe.txt IDA로분석하면서중요한부분을 IDA Graph로 PDF 파일로담았습니다. mailsend_flow.pdf는악성코드가메일을보낼때의 Flow입니다. regisp32_flow.pdf는 regisp32.exe 악성코드실행의한부분인 Flow입니다 Flow mailsend_flow.pdf regisp32_flow.pdf - 2 -

Email-Worm Analysis 어느날 21c@##.co.kr 에서 Gwd: Document 라는제목으로한통의메일을받았습니다. ( 보낸회사를알아보니현재는운영을안하는회사였습니다.) (id 부분을유추해 21c@21c.co.kr 로생각하시는분도계실지모르지만아닙니다.

3 -Worm Analysis 어느날 에서 Gwd: Document 라는제목으로한통의메일을받았습니다. ( 보낸회사를알아보니현재는운영을안하는회사였습니다.) (id 부분을유추해 21c@21c.co.kr 로생각하시는분도계실지모르지만아닙니다. ^^) Message.com, Description.txt 파일두개가첨부되어있네요. 두개의파일을다운로드받아보았습니다. Message.com 을받으니다음과같이 AV 에탐지되네요 - 3 -

4 Description.txt 파일의내용입니다. 이파일은 Text 파일이기때문에분석에서제외하였습니다. you've got them already Message.com 분석결과 Strings 결과중에의미있는부분만따로뽑아낸부분입니다. ( 전체 Strings 결과는파일에첨부되어있습니다.)!This program cannot be run in DOS mode. Rich UPX0 UPX1 UPX2 $Id: UPX 0.61 Copyright (C) Laszlo Molnar & Markus Oberhumer $ $Id: NRV 0.54 Copyright (C) Markus F.X.J. Oberhumer $ $License: NRV for UPX is distributed under special license $ kernel32.dll Sleep user32.dll wsprintfa wsock32.dll send tole32.dll CoInitialize shlwapi.dll StrDupA wininet.dll InternetOpenA advapi32.dll RegCloseKey urlmon.dll URLDownloadToFileA shell32.dll ShellExecuteA gdi32.dll DeleteDC KERNEL32.DLL LoadLibraryA GetProcAddress UPX! MGGt SW3 bmp In a d ficult worlv nameless = ant o surviv So, you ill be mine!! Bagl AuthQ$29.04 GermFy SOFTWARE dispering - 4 -

5 lobje cts.exe 3've gonhem alreaa dyam image/bmpk[ Startup hutdown &k:#ibane Ex9 HELO %l" {RSET MAIL FROM:< CPT TO DATA msn MIME-N 7c-Typem DEBU SYSTEM 'D'r'o'p e'd's'k'y'n 악성코드를분석할때는이렇게 Strings 로초기분석을하게되는데대략초기분석결과다음과같습니다. UPX Packing 로어떤작업을수행레지스트리어떤작업을수행어떤 URL에어떤파일을다운로드시작프로그램에어떤프로그램이등록될지도다른사람에게메일을보낼수도... 그러나 Packing 된파일이기때문에분석을하려면꼭 Unpacking 된파일의 Strings 결과를봐야합니다. 왜그런것인지는관련된다른문서를참고해주시기바랍니다

6 이제분석시스템에 Message.com 파일을옮긴후에분석을시작해보도록하겠습니다. 분석시스템은 Windows XP Pro SP0 원본버전이고, 인터넷과단절된환경입니다. 외부로나가려는패킷은패킷캡쳐를통해분석을합니다. 만약 IRC 기능을하는패킷이나간다고한다면 IRC 서버를갖춘가상환경으로돌리면되고, 어떤웹사이트에연결하는패킷이면웹서버를갖춘가상환경으로돌리면됩니다. 분석과정에는여러가지가있지만 -worm 같은경우최대한코드의사이즈를줄이고, 많이퍼뜨려 야하기때문에첨부된파일의사이즈는 50kb 는안넘습니다. 보통 50kb 정도된다고보시면됩니다. 그럼, 이작은사이즈가과연어떤일들을할까요. 만약실행이된다면, 만약메일을받고첨부된수상한파일이실행된다면보통어떤사이트의악성코드를다운로드받은후에실행을하고, 시작프로그램에등록되고, IRC Bot 기능을갖고있다면 Client는악성코드가실행된지도모르고, 공격자가관리하고있는 IRC 채널에자동으로접속 / 대기하고공격자의명령을받을준비를하곤합니다. 한마디로첨부된파일은 명령 역할을할뿐입니다. 수상한파일을실행시키지맙시다. Strings 결과 UPX로 Packing 되었다고하니 UPX로 Unpacking 을합니다. 만약 Unpacking 도구가없거나, 신종 Packer로 Packing 된경우는 Manual Unpacking 을합니다. 단순히악성코드의행동패턴과흐름만을본다면 Unpacking을할필요는없습니다. 그냥 Message.com 파일을실행하면되니까요. 그러나. 분석을하는것이기에한번끝까지한번가봅시다. 다음화면에서 Message.com 파일은 UPX로 Packing된파일이고, 에서첨부된파일입니다. Certlab_unpacked.exe 파일은 unpacking 한파일입니다. 왜악성코드는 Packing 하는지, 왜 Unpacking 하면코드의사이즈가틀린지.. 왜 Packing된파일과 Unpacking 된파일과서로 Strings 결과가틀린지는이문서에는다루지않고, 다음분석문서에서다루도록하겠습니다

7 Unpacking 후의 Certlab_unpacked.exe -> Strings 결과입니다. 마찬가지로의미있는문자열들만따로뽑아서정리하였습니다. 보시면아시겠지만한눈에봐도어떤일들을하는지알수가있을것이고, Strings 결과에대해조금의변조없이그대로보여드립니다.!This program cannot be run in DOS mode. Rich In a difficult world In a nameless time I want to survive // 저장되어있는어떤메시지가있습니다. So, you will be mine!! // 아마도나중에메일을보낼때사용하는제목일수도있겠네요. -- Bagle Author, , Germany SOFTWARE dispering DsplObjects windspl.exe // 이파일은아마도실행될악성코드의이름같습니다. // 사이트주소가있다는것은어떤작업을하는것입니다. 다시말하면어떻게해서든관련이있습니다. you've got them alreadyarial // 이메일로악성코드가첨부될때같이첨부되는 txt 파일의내용. ( 분석에서별필요없음 ) image/bmp image/gif image/jpeg gdiplus.dll GdiplusStartup GdiplusShutdown GdipGetImageEncodersSize GdipGetImageEncoders GdipLoadImageFromStream GdipSaveImageToFile GdipDisposeImage Can't find a viewer associated with the file Error! SOFTWARE Microsoft Windows CurrentVersion Run // 이것으로봐서악성코드가윈도우부팅될때시작프로그램에등록이됩니다. open.exe.scr.com.zip.vbs // 이런확장자목록같은경우여러가지이유들이있습니다..hta // 다운로드받거나생성된악성코드가다양한확장자로변형되거나.cpl // 목록에있는확장자파일들을공격하거나.. Internet Explorer 5.01 HELO %s.net HELO %s.com HELO %s.org RSET MAIL FROM:<%s> RCPT TO:<%s> // @microsoft - 7 -

8 f-secur news update feste kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho // 지금보이는이목록들은나중에악성코드가메일을보낼때사용하는메일 ID // 이목록에있는리스트에는메일을보내지않을수도있습니다. // 다른결과가나올수있습니다. winzip google winrar samples abuse panda cafee spam noreply local *.*.wab.txt.msg.htm.shtm.stm.xml.dbx.mbx.mdx.eml.nch.mmf.ods - 8 -

9 .cfg.asp.php.pl.wsh.adb.tbb.sht.xls.oft // 이확장자목록은위에서봤었던.exe.scr 등등과성격이다릅니다..uin // 악성코드가왼쪽에있는확장자목록들에등록되어있는파일들을찾아이메일주소를찾는것입니다..cgi // 이렇게수집된메일주소를바탕으로악성코드는메일을뿌리게됩니다..mht // 만약웹서버가현재이악성코드에감염이되었다면웹서버에있는모든웹페이지들에등록되어있는메일주소에.dhtm // 퍼지게될것입니다..jsp shar Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe // 지금이목록은공유폴더에다음의리스트의파일명으로복사됩니다. Porno Screensaver.scr // 악성코드가바보가아닌이상 virus.exe 라고하지않으니 Serials.txt.exe // 이런식으로그럴듯한파일명으로널리퍼지게끔합니다. Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe KAV 5.0 Kaspersky Antivirus 5.0 // 왜악성코드안에 AV 프로그램이름이들어있는것일까요. // 보통악성코드안에 AV 관련프로그램이름이등록되어있는경우 // 찾아서값을삭제하곤합니다. ddd',' dd MMM yyyy HH:mm:ss %03i%02i Date: %s To: "%s" <%s> // 메일보낼때의부분입니다. From: "%s" <%s> Subject: %s Message-ID: <%s%s> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=" %s" %s Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 7bit %s Content-Type: %s; name="%s.%s" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="%s.%s" Content-ID: <%s.%s> - 9 -

10 %s Content-Type: application/octet-stream; name="%s%s" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="%s%s" %s-- <html><body> </body></html> <img src="cid:%s.%s"> Password: %s Pass - %s Password - %s Gwd: Msg reply Gwd: Hello :-) Gwd: Yahoo!!! Gwd: Thank you! Gwd: Thanks :) Gwd: Text message Gwd: Document Gwd: Incoming message // 이것은메일을보낼때의제목리스트들입니다. Gwd: Incoming Message // 이중에악성코드는랜덤하게골라메일을발송하게됩니다. Gwd: Incoming Msg Gwd: Message Notify Gwd: Notification Gwd: Changes.. Gwd: Update Gwd: Fax Message Gwd: Protected message Gwd: Protected message Gwd: Forum notify Gwd: Site changes Gwd: Hi Gwd: crypted document Ok. Read the attach. Ok. Your file is attached. Ok. More info is in attach Ok. See attach. Ok. Please, have a look at the attached file. Ok. Your document is attached. Ok. Please, read the document. Ok. Attach tells everything. Ok. Attached file tells everything. Ok. Check attached file for details. Ok. Check attached file. Ok. Pay attention at the attach. Ok. See the attached file for details. Ok. Message is in attach Ok. Here is the file. .ini.cfg.txt.vxd.def.dll // 메일보낼때의본문내용 Details

11 XXX_livebabes XXX_PornoUpdates xxxporno fuck_her Info Common MoreInfo // 메일을발송할때악성코드의파일명을다음의리스트중에하나로보내게됩니다. Message // 저한테첨부되어온것은왼쪽의 Message를선택한악성코드. Message.com Description.txt // 악성코드가첨부될때같이첨부되는 Description.txt 파일 lstrlena GetTickCount lstrcpya lstrcata GetTempPathA ExitThread ExitProcess Sleep GetPrivateProfileIntA CreateThread CreateProcessA CloseHandle WriteFile // 광범위하게악성코드에서 WriteFile, CreateFileA 가있다면주위깊게봐야합니다. CreateFileA // 어떤 URL에서새로운악성코드를받을수도있고, packing된파일이 Unpacking 되면서생성되는파일등등.. // 환경에따라다르지만, 결국에는새로운파일이생성된다는것이기에생성되는파일을찾고, 분석을해야합니다. GetModuleFileNameA GetProcAddress GetModuleHandleA SetErrorMode ReleaseMutex GetLastError CreateMutexA KERNEL32.dll wsprintfa USER32.dll RegCloseKey RegSetValueExA RegOpenKeyA // 악성코드가시작레지스트리에등록을하는전형적인패턴 ADVAPI32.dll InternetCloseHandle InternetReadFile InternetOpenUrlA InternetOpenA WININET.dll // 사이트주소가명시되었다는것은리스트에나와있는사이트들이해킹되었거나 // 명시된사이트가메일서버로이용되고있을수있습니다. // 그게아니라면명시된사이트에서다른악성코드를다운받을수도있습니다. // 어떻게해서든관련이있습니다. win%s.tmp system.ini

12 TFTempCache system.ini VideoVer mcidrv32 DEBUT.TMP SYSTEM CurrentControlSet Services SharedAccess Parameters FirewallPolicy StandardProfile AuthorizedApplications List %s:*:enabled:ipsec // 위의레지스트리경로에다음값을생성합니다. bagla_super_downloader_1000 RegisterServiceProcess kernel32 smtp_bagla_ regisp32.exe smtp_bagla_1000 SeDebugPrivilege advapi32.dll AdjustTokenPrivileges InitializeAcl LookupPrivilegeValueA OpenProcessToken SetSecurityInfo kernel32.dll RegisterServiceProcess iphlpapi.dll GetNetworkParams MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-ooaxx -+S+-+k+-+y+-+N+-+e+-+t+- XxKOo-_ [SkyNet.cz]SystemsMutex // 다음 Mutex를생성합니다. AdmSkynetJklS003 // 여기서 Mutex란보통악성코드는중복실행을막기위해다음과같이특정웜들의 --->>>>U<<<<-- // Mutex값을이용합니다. 그래서다른웜들의중복실행을방지합니다. _-oo]xx -S-k-y-N-e-t- Xx[Oo-_ My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV // 위에서말했듯이다음과같은목록의문자열이있다면삭제합니다. ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net $$$$ GetLogicalDriveStringsA

13 GetModuleFileNameA GetLocalTime GetProcAddress GetSystemDirectoryA GetTickCount GetTimeFormatA GetTimeZoneInformation GetWindowsDirectoryA GlobalAlloc GlobalFree LoadLibraryA LocalAlloc LocalFree MapViewOfFile MultiByteToWideChar OpenProcess Process32First GetDriveTypeA GetFileSize ReleaseMutex SetEndOfFile SetFileAttributesA SetFilePointer Sleep SystemTimeToFileTime TerminateProcess UnmapViewOfFile WaitForSingleObject WideCharToMultiByte WinExec WriteFile lstrcata lstrcmpia lstrcpya lstrcpyna lstrlena CloseHandle GetDateFormatA GetCurrentProcessId GetCurrentProcess GetCommandLineA FindNextFileA FindFirstFileA FindClose ExitProcess CreateToolhelp32Snapshot CreateThread CreateMutexA CreateFileMappingA CreateFileA CopyFileA CompareFileTime ReadFile Process32Next wsprintfa DrawTextA CharUpperA socket

14 send gethostname gethostbyname connect closesocket bind // 소켓프로그래밍때많이나오는함수 accept WSAStartup listen inet_addr select recv CoInitialize CreateStreamOnHGlobal StrDupA StrChrIA StrRChrA StrStrIA StrTrimA InternetOpenUrlA InternetOpenA InternetGetConnectedState InternetCloseHandle RegCloseKey RegCreateKeyA RegDeleteKeyA RegDeleteValueA RegSetValueExA URLDownloadToFileA ShellExecuteA CreateBitmap CreateCompatibleDC CreateFontA DeleteDC DeleteObject FloodFill GetDIBits GetDeviceCaps GetObjectA SelectObject SetBkMode SetTextColor H6*w kernel32.dll Sleep user32.dll wsprintfa wsock32.dll send tole32.dll CoInitialize shlwapi.dll StrDupA wininet.dll InternetOpenA advapi32.dll

15 RegCloseKey urlmon.dll URLDownloadToFileA shell32.dll ShellExecuteA gdi32.dll DeleteDC KERNEL32.DLL LoadLibraryA GetProcAddress HELO %l" {RSET MAIL FROM:< ADVAPI32.dll RegCloseKey RegCreateKeyA // 레지스트리값생성 / 삭제부분입니다. RegDeleteKeyA RegDeleteValueA RegSetValueExA GDI32.dll CreateBitmap CreateCompatibleDC CreateFontA DeleteDC DeleteObject FloodFill GetDIBits GetDeviceCaps GetObjectA SelectObject SetBkMode SetTextColor KERNEL32.dll GetLogicalDriveStringsA GetModuleFileNameA GetLocalTime GetProcAddress GetSystemDirectoryA GetTickCount GetTimeFormatA GetTimeZoneInformation GetWindowsDirectoryA GlobalAlloc GlobalFree LoadLibraryA LocalAlloc LocalFree MapViewOfFile MultiByteToWideChar OpenProcess Process32First GetDriveTypeA GetFileSize ReleaseMutex SetEndOfFile SetFileAttributesA

16 SetFilePointer Sleep SystemTimeToFileTime TerminateProcess UnmapViewOfFile WaitForSingleObject WideCharToMultiByte WinExec WriteFile lstrcat lstrcmpi lstrcpy lstrcpyn lstrlen CloseHandle GetDateFormatA GetCurrentProcessId GetCurrentProcess GetCommandLineA FindNextFileA FindFirstFileA FindClose ExitProcess CreateToolhelp32Snapshot CreateThread CreateMutexA CreateFileMappingA CreateFileA CopyFileA CompareFileTime ReadFile Process32Next ole32.dll CoInitialize CreateStreamOnHGlobal SHELL32.dll ShellExecuteA SHLWAPI.dll StrDupA StrChrIA StrRChrA StrStrIA StrTrimA urlmon.dll URLDownloadToFileA USER32.dll wsprintfa DrawTextA CharUpperA WININET.dll InternetOpenUrlA InternetOpenA InternetGetConnectedState // 인터넷에연결한후어떤파일을다운로드받을것같습니다. InternetCloseHandle WSOCK32.dll socket

17 send gethostname gethostbyname connect closesocket bind accept // bind, accept는네트워크소켓프로그래밍에자주나오는함수이름입니다. WSAStartup listen inet_addr select recv 지루하시나요? ^^; 이제장난은그만하고실제악성코드를실행시켜행동패턴과흐름을알아보겠습니다. 단순히 Strings 로본결과들은 참고 일뿐입니다. 어떤악성코드는실행을하면악성코드제작자의코딩상의실수로실행에러나기도하고, 10 가지기능이있다면 8 개만구현된다거나하는것들이있기때문에 100% 신뢰하기보다는실제분석할때 참고 로이용하는것이좋습니다

분석시스템은 Vmware Windows XP SP0입니다. 악성코드분석에필요한툴들의설명은다른문서에서다루도록하겠습니다. 악성코드는컴퓨터가자기스스로만들어서퍼지게하지않습니다. 당연한이야기이지요. 악성코드는 사람 이코딩하여어떤목적을갖고, 어떤취약점을이용해퍼지게끔하고, 만약 Client가감염이된다면악성코드제작자의생각데로흐름데로실행되는것입니다.

18 분석시스템은 Vmware Windows XP SP0입니다. 악성코드분석에필요한툴들의설명은다른문서에서다루도록하겠습니다. 악성코드는컴퓨터가자기스스로만들어서퍼지게하지않습니다. 당연한이야기이지요. 악성코드는 사람 이코딩하여어떤목적을갖고, 어떤취약점을이용해퍼지게끔하고, 만약 Client가감염이된다면악성코드제작자의생각데로흐름데로실행되는것입니다. 어떤파일을만들거나레지스트리에추가하고, 다시퍼지게끔하고... 또한, 동작되는환경도중요한데요즘같은경우는 Windows XP를사용하는모든사용자들은대부분서비스팩2가설치되어있고쓰고있습니다. 그런데이런환경속에악성코드제작자가서비스팩없는원본, 서비스팩1이설치된컴퓨터를공격하는악성코드는 90% 만들지않습니다. 왜냐하면악성코드제작자는악성코드가널리퍼뜨려져야됩니다. 왜냐하면악성코드제작자이니까요. 정상적인프로그래머라면상대방의컴퓨터에 Keylog를설치하거나레지스트리에어떤값을집어넣는다거나그런일들은않하는게정상이니까요. 다시말하자면악성코드도설치되는환경이중요하고, 분석시스템도다양한환경을구축해야합니다. 다음과같은환경을구축한후적절하게분석시스템을선정하여분석해야합니다. 또한가지분석툴들만설치하고끝이아니라실제분서시스템에서어느정도의웹서핑과 P2P프로그램, 메신저프로그램들을설치하고써봐야합니다. ( 다양한악성코드의반응때문에..) 그리고나서인터넷과통제된환경으로돌아와서분석을시작합니다 / 2000 SP4 / XP / XP SP0 / XP SP1 / XP SP2-18 -

19 자.. 이제분석을합시다. 아래사용하는툴은이럴때꼭이런툴을쓰는구나라는정답은없습니다. 네트워크패킷분석을해주는 Ethereal 을띄웁니다. Process 상태를보기위해 Process Explorer 를실행시킵니다

20 파일생성및엑세스모니터링을해주는 Filemon 레지스트리접근및생성모니터링을해주는 Regmon

21 현재시스템의 TCP, UDP 포트및동작프로세스점검을해주는 CurrPorts Message.com 악성코드를실행하기전에 Regshot 을찍습니다

22 자이제악성코드를실행을합니다. - 실행하고나서의결과 - Process Explorer 에서의변화 windspl.exe / regisp32.exe 수상한 Process 생성

분석결과 Message.com 이라는 19.4kb 의악성코드를실행하게되면 windspl.exe 파일과 regisp32.exe 파일을생성하는것을볼수있습니다. 아래화면은악성코드원본 Message.com 파일과 Unpacking 한 Certlab_unpacked.exe 파일의 사이즈를보실수가있습니다. (txt 파일은각각의실행파일의 Strings 결과입니다.

23 분석결과 Message.com 이라는 19.4kb 의악성코드를실행하게되면 windspl.exe 파일과 regisp32.exe 파일을생성하는것을볼수있습니다. 아래화면은악성코드원본 Message.com 파일과 Unpacking 한 Certlab_unpacked.exe 파일의 사이즈를보실수가있습니다. (txt 파일은각각의실행파일의 Strings 결과입니다.) 아래는 Message.com 을실행했을때시스템에자동으로생성되는파일입니다. windspl.exe, regisp32.exe, windspl.exeopen, windspl.exeopenopen 이렇게 4 개의파일이 생성되는것을볼수있습니다. 여기서눈여겨봐야할것은 Message.com 을 Unpacking 한 Certlab_unpacked.exe 파일과 생성된 windspl.exe 파일사이즈와 md5 hash 값이같다는것입니다. Certlab_unpacked.exe / md5 : B7877D51B707490AF70220A64 windspl.exe / md5 : B7877D51B707490AF70220A64 Message.com 이 Unpacking 되면서 windspl.exe / regisp32.exe / windspl.exeopen / windspl.exeopenopen 파일이생성된다는것을알수있습니다. 여기서생성된각각의파일분석은뒤에서하도록하겠습니다

$처음 c:\windows\system32\windspl.$

24 Filemon의결과 ( 중요한부분만캡쳐하였습니다.) 다음은일반적으로악성코드가파일을생성하는부분입니다. 처음 c:\windows\system32\windspl.exe 파일을 open 하는데파일이없으니 Create 을통해파일을생성되는과정을보실수가있습니다. Regmon 의결과

25 어셈블리어개발자그룹 :: 어셈러브

$처음분석할때 *.html / *.jsp 등문서파일에서이메일을추출하는부분이있어서 임의로 c:\ 디렉토리에 a.html / a.jsp / a.$

26 처음분석할때 *.html / *.jsp 등문서파일에서이메일을추출하는부분이있어서 임의로 c:\ 디렉토리에 a.html / a.jsp / a.php / a.htm 파일을생성하고, 임의의이메일주소를넣었고, 화면은악성코드가각각의디렉토리를검색하여이메일을추출하는화면입니다

$6777 번포트를 Listening 하는프로그램은생성된 c:\windows\system32\windspl.$ exe 입니다.

27 windspl.exe 6777 포트를 listening 하는모습입니다 번포트를 Listening 하는프로그램은생성된 c:\windows\system32\windspl.exe 입니다. 6000번대포트면 IRC 기능이있는지의심을해봐야하는데 Strings 결과에는 IRC에관련된명령어들과정보들이없었습니다. 그래도한번 6777 포트로접속을시도해본화면입니다. IRC 와관련없는악성코드가맞습니다. 만약에 IRC기능을한다면재밌는상황들을볼수있는데말이죠

28 어느정도악성코드가실행이되었다면악성코드를종료합니다. 그리고나서 Regshot 2nd 샷을찍습니다. 다음은결과화면중에중요부분만남겨놓은결과입니다. 시작레지스트리에등록되는것을볼수가있습니다. Regshot 1.7 Comments: Datetime:2006/12/21 09:41:37, 2006/12/21 09:44:11 Computer:XSTONE-ANALYSIS, XSTONE-ANALYSIS Username:m(^^)m, m(^^)m HKU S Software Microsoft Windows CurrentVersion Run DsplObjects: "C: WINDOWS System32 windspl.exe" Ethereal에서외부로나가는패킷들이잡혔습니다. 도메인질의를하는것을볼수있습니다. 이제무엇을할까요. 웹서버가있는가상환경으로돌려봅시다

29 분석시스템에 hosts 파일을다음과같이편집합니다. 도메인질의를할시에 Windows는 hosts 파일을먼저참조하기때문에이곳에설정되어있는 IP로바로접속을시도하게됩니다. 따로도메인질의과정 (root 서버 -> 하위서버 ) 이런식의도메인질의는안하게됩니다. 총 4 개의도메인리스트가있지만 3 개만등록하고악성코드를실행시켜보겠습니다

30 이제다시악성코드를실행합니다. 다음과같이정상적으로웹서버에반응하고요청을하는것을볼수가있으며처음생각하기로는사이트에접속하여어떤다른악성코드를받으려고파일을요청하는패킷을보낼줄알았는데그냥웹문서만받는것을볼수있습니다. 이게아니라면실제환경상의차이로받아야할파일을못받는경우이거나사이트에접속을시도하면자동으로파일을 send 해주는 script를사이트에심을수도있구요. 악성코드를접속해서다운을받아야하는데받아야할사이트가동작을안하거나여러가지이유가있습니다. 일단은 index 웹페이지만요청을하는것을볼수있습니다. 또한가지외부에패킷을보내거나받을때는 regisp32.exe 파일이담당하는것을볼수있습니다. windspl.exe 는단지 6777 포트를 Listening 합니다

31 또한, 다음과같이계속트래픽을발생시킵니다. 6kb regisp32.exe 파일만단독실행해보면위에서일어났던 Regmon, Filemon, Ethereal 에서의 동작과같다는것을확인할수있습니다

32 이제 IDA 에서분석을해봅시다. 먼저 regisp32.exe 악성코드 Flow 의한부분입니다. 화면이작은데 regisp32_flow.pdf 파일을참고해주세요. 그리고 IDA 관련자세한분석은다른문서에서다루도록하겠습니다

33 다음은분석과중에스냅샷입니다

34 windspl.exe 파일생성과정 시작레지스트리에등록하는부분

35 실제메일을보낼때의부분입니다. mailsend_flow.pdf 을참고해주세요. 공유폴더에다음목록의파일명으로복사

36 메일발송시에명령어들 메일제목리스트 분석하면서중요한부분만했기때문에넘어간부분이너무많고, 마지막에조금빠르게끝내버린것같지만분석결과다른악성코드를받는시나리오인데받아야할사이트가현재서비스되지않거나여러가지이유로다음시나리오로못넘어가서분석을마칠까합니다. 실제악성코드를새로받아야분석하는의미가있는데다음에다루도록하겠습니다. 부족한글끝까지읽어주셔서감사드리고, 혹시잘못된내용이나잘못알고있는것이있거나 문의할내용이있으시면메일로보내주시기바랍니다

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

<41736D6C6F D20B9AEBCADBEE7BDC42E687770> IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 - Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다.