악성코드 샘플 분석 실습2

샘플 파일

<그림 1> 분석할 파일인 bton02setup.exe 파일

• <그림 1> 에 보이는 파일을 Virustotal 과 여러 분석 툴들을 활용해 분석을 하였습니다.
• 해당 파일은 악성파일이며, 분석 진행은 이전에 구축해둔 가상환경 Windows 7 Professional 64bit 에서 진행 하였습니다.

 

기초 분석

 

<그림 2> Virustotal 스캔 결과

• 해당 파일의 기본적인 정보를 얻기위해 Virustotal 로 해당 파일을 스캔하였습니다.
• 71개 엔진 중 51개 엔진이 해당 파일을 악성 파일로 진단하였습니다.
• 진단명을 살펴보면 PUP, Adware, Trojan, Downloader, Win32 로 진단을 많이 한 것을 확인 했을 때
  해당 파일은 Adware, Downloader, Trojan 형태의 악성 코드로 보여집니다.
• Win32 에서 구동할 것으로 보여집니다.

 

정적 분석

Exeinfo PE, PEiD

<그림 3> 좌측 Exeinfo PE, 우측 PEiD

 

• <그림 3> 은 Exeinfo PE 와 PEiD로 bton02setup.exe 파일의 패킹 여부를 확인하기 위해 스캔한 결과의 모습입니다.
• 결과적으로 2가지 툴 모두 해당 파일은 패킹이 되지 않은 것으로 보여지고 있고 해당 파일은 Microsoft Visual C++ 로 제작이 된 것으로 보여지고 있습니다.

BinText

<그림 4> BinText 로 스캔 결과

• Import DLL 목록 중 NETAPI32.dll , WSOCK32.dll 이라는 라이브러리를 확인할 수 있는데 해당 라이브러리는 네트워크 행위를 할 때 사용되는 dll 이라는 것을 확인할 수 있었습니다.
• 두번째 박스의 URL 주소와 nskSetup.exe 파일과 C:\WINDOWS\ 경로를 확인하였을 때 해당 URL 주소에서 nskSetup.exe 파일을 다운로드 하여 C:\WINDOWS\ 경로에 저장할 것으로 보여집니다.
• 마지막 하단에 체크해둔 곳을 확인하였을 때는 해당 코드가 무엇인지는 모르겠으나 무엇인가를 삭제를 하기위한 코드로 보여졌다.

 

 

PE View

<그림 5> PEView 스캔 결과 1

• PEView 를 실행해 파일을 본 결과 4D 5A ( MZ ) 를 확인할 수 있었음 이것을 보고 해당 파일은 실행 파일이라는 것을 다시 한번 확인하였습니다.

<그림 6> PEView 스캔 결과 2

• IMAGE_FILE_HEADER의 Time Date Stamp 를 확인한 결과 해당 파일의 생성 날짜가 2015년 08월 04일 인 것도 확인을 할 수 있었습니다.

<그림 7> PEView 스캔 결과 3

• 해당 파일에 포함된 세션 이름이 .text 인 것과 해당 세션의 Virtual Size 와 Size of Raw Data 의 값이 비슷한 것을 확인하였을 때 해당 파일은 패킹이 되지 않은 것으로 보여집니다.

<그림 8> PEView 스캔 결과 4

 

• 해당 파일에 Import 된 라이브러리 목록들을 한눈에 확인할 수 있었습니다.
• 이전 BinText 에서 확인을 한 것과 같은 라이브러리 파일을 모두 확인할 수 있었습니다.
• 이때 확인된 라이브러리 목록 중 NETAPI32.dll 과 WSOCK32.dll 을 다시 한번 확인함으로써 해당 파일이 네트워크 행위를 할 가능성이 높다 라는 것을 다시한번 확인할 수 있었습니다.

 

동적 분석

<그림 9> 파일을 관리자 권한으로 실행한 결과

• 해당 파일을 관리자 권한으로 실행한 결과 해당 파일이 사라지며 아래와 같은 창이 화면에 나오는 것을 확인할 수 있었습니다.

 

Process Explorer

<그림 10> bton02Setup.exe 파일 실행 후 Process Explorer의 모습

• bton02Setup.exe 파일을 관리자 권한 실행 후 Process Explorer 의 모습입니다.
• bton02setup.exe 프로세스가 생성되는 것을 확인하였습니다.
• 짧은 시간 이후 bton02setup.exe 프로세스가 사라지는 것을 확인할 수 있었습니다.
• 다른 새로운 프로세스가 생성되지는 않은 것으로 확인되었습니다.

 

Process Monitor

<그림 11> Process Monitor 모습 1

• bton02setup.exe 파일 실행 후 Process Monitor의 모습입니다.
• nskSetup.exe 파일을 실행하려고 시도하는 모습을 확인할 수 있습니다.
• 그러나 해당 파일을 찾지 못해 모두 실패한 모습도 확인할 수 있습니다.

<그림 12> bton02Setup.exe 파일이 cmd.exe 를 실행하는 모습

• 해당 bton02Setup.exe 파일이 cmd.exe 파일을 실행하는 모습을 확인할 수 있습니다.
• cmd.exe 파일을 실행한 것을 확인하고 cmd.exe 가 무슨 일을 하는 것인지 확인을 위해 cmd.exe 프로세스를 필터링 해서 확인해 보았습니다.

<그림 13> cmd.exe 를 ProcessMonitor 에서 필터링해 확인한 결과

• bton02Setup.exe 는 cmd.exe 를 이용해 SetDispositionInformationFile 이라는 함수를 사용하는 것을 확인할 수 있는데 이것은 파일을 삭제할 때 사용하는 함수라고 함
• bton02setup.exe 와 DelUS.bat 을 삭제하는 모습을 확인할 수 있었습니다.

 

 

System Explorer

 

<그림 14> System Explorer 의 Snapshot 기능을 이용해 해당 파일 실행 전과 후를 비교 후 이상 파일을 실행한 결과

 

• System Explorer 에서 Snapshot 기능을 사용해 bton02Setup.exe 파일을 실행하기 전과 실행 후의 모습을 비교를 해보았습니다.
• 비교한 결과 atin.ini 파일이 C:\WINDOWS 에 생성된 것을 확인할 수 있었습니다.
• atin.ini 파일이 어떤 파일인지 확인해보기 위해 해당 파일이 설치된 경로로 들어가 해당파일을 실행해보았습니다.
• 해당 파일 실행결과 아무 내용이 없는 파일로 확인이 되었습니다.

 

 

Autoruns

<그림 15> Autoruns 로 파일 실행 전 후 비교후 변화가 없는 것을 확인

• Autoruns 를 사용해 파일 실행 전 후의 시작프로그램과 서비스 변화를 확인해 보았는데 변화가 없는 것으로 확인됩니다.

 

 

WireShark

 

<그림 16> WireShark 분석

• bton02Setup.exe 파일 실행 후 a-ton.co.kr 에 접속을 하기위해 DNS 서버에 쿼리를 보내는 것을 확인할 수 있다.
• 하지만 해당 도메인이 만료되었는지 해당 도메인의 IP 주소는 반환되지 않는 것을 확인할 수 있다.
• a-ton.co.kr 의 IP 주소가 반환되지 않아 네트워크 접속에는 실패한 것으로 보여진다.

 

결론

• bton02setup.exe 파일
• 현재는 활동하지 않는 Adware , Trojan, Downloader 계열의 악성 코드로 보여집니다.
• 하지만 a-ton.co.kr 도메인이 복구가 된다면 언제든 다시 활동이 가능한 악성 코드로 보여집니다.