메뉴 건너뛰기

Hello :0

.Net 기반의 악성코드 분석

2016.06.19 18:33

Leekyu 조회 수:814

1. 개요

오늘 분석할 파일은 닷넷 기반으로 제작 되었으며 사용자의 입력을 키로깅하여 저장하는 기능을 가지고 있다. 

 

2. system.exe 분석

 

1.png

SHA256:    012d0d80bb3559c3ceb52d4325340a75a6abcc446b2fba78cffd8c915e6782a9

 

2.png

악성코드를 실행하면 아래와 같이 "C:\Documents and Settings\Administrator\Application Data" 경로로 복사가 된다.

 

3.png

Procexprorer을 실행하면 악성코드가 새로운 프로세스를 생성하는 것을 확인 할 수 있다.

 

4.png

동일 경로에 system.exe.tmp라는 이름의 파일이 생성된다.

 

5.png

system.exe.tmp 파일을 메모장으로 열어 보면 사용자의 입력 값이 저장됨을 볼 수 있다.

 

sysinternals의 procmon을 사용하여 분석해보도록 해보자

 

6.png

파일 상에 접근하여 WriteFile을 사용하여 입력을 한 후 CloseFile을 하는 내용

 

7.png

레지스터리 영역에 접근 하여 Run에 특정 값을 틍록하는 것도 확인이 가능하다.

 

8.png

dae31c02cb06222e776b9ccb9207edb1 값을 생성하고 데이터를 "C:\Documents and Settings\Administrator\Application Data\system.exe" 입력 하여  PC가 재부팅 될시 자동으로 실행되게 한다.

 

9.png

Procmon에서는 netsh 명령어를 이용하여 방화벽에서 해당 프로그램을 allow하는 것에 대한 상세 명령어를 확인 할 수 있다.

 

10.png

PEiD를 사용해 본 결과 해당 악성코드는 닷넷 프레임 워크를 이용해서 제작된 것을 확인 할 수 있다.

해당 파일을 디스어셈블 하기 위해 다양한 도구중 Dootpeet를 이용하여 분석을 할 것이다.

 

11.png

파일을 jetbrain dotPeek으로 열어보면 3개의 클레스 파일이 존재 한다. A는 메인 함수가 존재하고

Kl 클레스는 키로깅을 하기위한 매써드들의 정의 OK 클래스에는 그밖의 악성코드에서 사용되는 매써드들과 변수 들이 정의 되어 있다.

 

12.png

악성코드의 중복 실행을 막기 위한 Mutex 관련 소스코드

 

13.png

Main 함수에서 조금 밑으로 내려오면 OK.INS() 라는 매써드가 보이며 해당 매써드는 파일 복사, 방화벽  허용, 레지스트리 등록과 같은 기능을 가지고 있다.

 

14.png

-파일 복사

 

16.png

- 레지스트리 등록

 

15.png

- 악성코드의 방화벽 허용

 

17.png

WRO() Method는 키로깅을 하는 부분으로 기존의 키로깅된 파일을 읽고 뒤에 새로운 데이터를 다시 쓰는 형태로 되어 있다.

 

18.png

19.png

return "\r\n\x0001" + this.HM() + " " + processById.ProcessName + " " + this.LastAS + "\x0001\r\n";

의 형태로 리턴되는 것을 확인가능

 

20.png

Send(string S) Method는 내부의 정보를 외부로 유출 하는 용도로 보인다.

 

21.png

public static string H = "xxxxxxxxxxxx.no-ip.org"; H의 도메인으로 소켓을 연결하고 데이터를 전송

 

22.png

23.png

24.png

키로깅 한 정보외에 다른 정보를 유출 하는 것이 확인 되었고, 외부에서 파일 다운로 시도 함으로 보여지나 C&C 서버와의 연결이 되지 않아 확인이 불가능 하다.

 

virustotal 정보

https://virustotal.com/ko/file/012d0d80bb3559c3ceb52d4325340a75a6abcc446b2fba78cffd8c915e6782a9/analysis/

25.png

AhnLab-V3 에서는 Trojan/Win32.Bladabindi 20160617 진단하고 있다.