본문 바로가기

[REVERSING]

[악성코드]BlackEnergy2(svchost.exe DKOM) #3 세번째 프로세스 분석 [그림.1] 분석전에 SSDT 테이블을 후킹을 하는 악성코드로 판단을 했었는데 다시 상세히 분석하니 이녀석은 SSDT 후킹을 하는 악성코드가 아니었습니다. IceSword툴을 이용해서 SSDT 테이블에서 변경이된 Native Function이 있는지 확인결과 이상이 없었습니다. [그림.2] 그런데 Process를 확인 결과 분명 PID 3720을 사용하고있는 svchost.exe는 태스크매니저 또는 ProcessExplorer로 확인했을때 없었는데 IceSword에서는 실행중인 프로세스로 확인이 되네요. [그림.3] 올리디버거로 그림.3과 같이 0x151139F0와 0x15114D10함수로 진입하여 분석을 시도합니다. 위의 함수들은 Kernel모드로 진입하여 DKOM을 작업하는 함수들입니다. DKOM은 .. 더보기
[악성코드BlackEnergy2(_bot.exe) #2 두번째 프로세스 분석 첫번째 _bot.exe프로세스가 CreateProcess로 자기자신을 자식프로세스로 생성하게 되는데요 그 생성된 프로세스를 분석해 보겠습니다. 우선 이번에도 분석하기전에 분석대상 실행파일에서 대략 코드의 흐름을 보겠습니다. [그림.1] 이번에도 툴을 돌려서 확인하겠습니다.ㅋ 이번 분석대상은 CreateProcess로 호출된 _bot.exe의 자식프로세스 입니다. [그림.2] 분석이 완료되고 Report결과를 보면 함수가 별로 호출이 안되네요. 윗부분 몇줄은 _bot.exe의 부모프로세스와 동일하고 메모리주소 0x1511267F lstrcpy부터 코드가 틀린것을 확인 할 수 있습니다. 지금부터 코드는 _bot.exe가 아닌 _bot.exe의 자식프로세스의 이름을 _bot_petch.exe라고 하겠습니다. .. 더보기
[악성코드]BlackEnergy2(_bot.exe) #1 첫번째 프로세스 분석 [쿠쿠 분석결과] 요즘 모 교육을 받고 있는데 샘플 상세분석은 안하더라구요.ㅠ 궁금하기도 하고 해서 한번 상세 분석을 진행해 보았습니다... [그림.1] 그림.1을 보면 알수 없는 문자열이 스택에 저장되는 것을 볼 수있습니다. 악성코드 제작자가 분석을 방해하거나 백신우회? 를하기위해 저렇게 알 수 없는 문자열로 저장해놓고 0x15117430 .data section에 디코딩을 합니다. 디코딩을 하면 URL이 나오는데 이 정보를 숨기고 싶었나봅니다. [그림.2] .bdata section 입니다. 이 데이터의 아스키 코드값을 메모리의 offset으로 사용합니다. [그림.3] 그리고 .data section의 데이터입니다. 그림.2에서 Memory + Ascii offset 한 위치의 값을 .data sec.. 더보기
[악성코드]금융권 공격 악성코드 Ransomware Dropper 분석 [그림.1] Cuckoo SandBox동적분석 결과 [그림.2] 0x00411CA 주소에서 CALL rnasomew.0043EA30 함수를 호출하는데 이 함수의 내부로 들어가서 분석을 해보면 Heap을 생성하고, ransomware.exe PE의 .rdata섹션의 데이터를 생성된 Heap주소공간에 복사를 합니다. [그림.3] PE의 .rdata seciotn의 데이터를 Heap에 복사하는 과정입니다. [그림.4] 그리고 나서 복사된 원본 데이터를 1E51FCC값을 더하여 디코딩을 시작하는데 이중 루프문을 사용하여 총 11463Ah크기만큼 반복하고 44h회 만큼 더합니다. 결국 1163Ah*44h=49E768h(4843368)만큼 루프를 돌면서 디코딩을 하게 됩니다. [그림.5] 그리고 디코딩된 힙영역을 .. 더보기
[악성코드]3월20일 방송사 및 금융권 악성코드 Dropper 분석 ※ 주의사항 아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다. 악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다. 해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다. 개요 악성코드 개요 3월20일 대란으로 유명한 darkseoul 샘플 입니다. MBR을 파괴하고 나서 물리드라이버(하드디스크)까지 파괴를 시키는 악성코드입니다. 생성파일 정보 요약 감영증상 요약 MBR과 HDD를 파괴하고 강제로 리부팅하여 시스템을 파괴합니다. VirusTotal 점검 내역 https://www.virustotal.com/ko/.. 더보기
MBR 확인 간단히 HxD툴을 사용하여 mbr을 확인하는 방법입니다. 끝입니다 -0- 간단하저 ㅎㅎ 더보기
320 DarkSeoulDropper 분석중 access violation 오류 문제해결 올해 금융권을 마비시켰던 악성코드인 DarkSeoulDropper를 분석중이었다. 아무탈없이 순조롭고 재미있게 분석중이였다. 그러나 0040230B주소에서 Access violation 오류가 났다. 이오류로 더이상 진행을 할 수가 없었다.. 그래서 몇몇 지인분들께 도움을 청했으나 아무문제 없다고한다. 멘붕이다.. 난 왜그런거지? olly부터 immunity, ida까지 다돌려봤으나 결과는 마찬가지다. 도저히 안되겠다 인터넷에 분석완료 하셨다는 분들 블로그에 댓글로 도움을 요청했으나 언제 답변이 올지 알수없는상태다. 그래서 막연히 검색을 해서 오류에대해 검색결과 몇가지 힌트를 발견했다. 일단은 OS예외처리를 하기전에 간단히 예외 에 대해 알아보고 넘어갑시다. 1. EXCEPTION_ACCESS_VIOLA.. 더보기
UPX Manual unpacking 1. 개요 실행파일을 UPX로 Packing 하여 Unpacking 과정을 상세 분석하여 실행파일의 압축해제 원리를 파악한다. 파일 압축기법은 여러가지가 있으며 실행가능한 압축파일 또는 비실행 압축파일이 있습니다. 예로 실행가능한 압축파일은 UPX등이 있으며, 비실행 압축파일은 알X 빵X등이 있습니다. 여기서 실행가능한 압축파일 같은 경우는 손실 압축기법을 사용하여 실행가능한 형태의 파일의 용량을 줄여 압축을 하며 비손실 압축기법은 데이터손실 없이 압축되는 기법으로 알X 빵X등에 사용됩니다. 2. 테스트 환경 (해당 될시에만) 운영 체제 (OS) : Windows XP Service Pack 3 분석 도구 : IDA Pro 6.1, Hxd, PEView 분석 대상 : 지뢰찾기 게임(윈도우용) 3. UPX.. 더보기
[악성코드]3월20일 방송사 및 금융권 악성코드 ApcCmdRun.exe ※ 주의사항 아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다. 악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다. 해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다. 개요 악성코드 개요 3월20일 대란으로 유명한 darkseoul 샘플 입니다. MBR을 파괴하고 나서 물리드라이버(하드디스크)까지 파괴를 시키는 악성코드입니다. 생성파일 정보 요약 감영증상 요약 MBR과 HDD를 파괴하고 강제로 리부팅하여 시스템을 파괴합니다. VirusTotal 점검 내역 https://www.virustotal.com/ko/.. 더보기
[악성코드]Backdoor.SdBot.aa/분석 1. 개요 해당 악성코드는 Explorer.exe windows작업관리자가 시작되면 자동실행 된다. 즉 컴퓨터가 재부팅되면 c"\windows/system32/System32.exe 프로세스를 자동실행하여 백도어의 역할을 하게 되며, 특정 명령어를 실행하며, 업데이트 기능도 갖고 있다 (1) 생성파일 정보 요약 [그림.1] 2. VirusTotal 점검 내역 https://www.virustotal.com/ko/file/e3b876df63fd0e1313be0dd416f654691193415f0ab6814d8be7c1ffe2f2bb8b/analysis/1362309628/ [그림.2] 3. 상세 분석 내용 (1) Manual FSG Packing EXEINFO_PE 정보를 확인하면 해당 파일이 FSG V1.. 더보기