뭐 바이러스 분석을 해본 경험이 없고 주말에 심심하던 찰나 잠깐 분석해봤습니다.
그냥 제가 잠깐 볼려고 쓴거라.. 읽어도 도움 될만한건 없는거 같네요;;
드라이버 로드 시키고 바이러스 안꺼지게 하려고 인젝션 하는거는 사용된 기술이고
주 목적은 어떤 서버로 나의 OS정보를 보내고 어떤 문자열을 recv할탠데.. 서버가 죽었는지 내용은 안오네요;
이 바이러스는 우리 학교에서 보안사고가 났을 때 이 바이러스 샘플을 얻었었습니다.
먼저 리버싱을 제가 그렇게 잘하는 것도 아니고 무조건 파일을 열어서 분석을 해보기 전에 시스템 모니터링 툴을 가지고 이 바이러스가 대충 어떠한 일을 하는지 정도는 알아보기로 했습니다.
사용한 툴은.. TCPview, Cport, SysAnalyzer, ProcessExplorer를 사용했습니다.
깨끗한? 테스트를 위해 인터넷과 통신할 수 있는 모든 프로세스를 종료 시키고 실험을 했습니다. 백신도 전부 끄구요~!
일단 실행시킨 파일명은 745.exe입니다. 하지만 프로세스 목록을 보니 745가 살아있다가 몇초후 system.exe가 띄워지면서
745.exe는 죽어버립니다. 예상 시나리오로는 745.exe파일이 system.exe파일을 생성시키고 꺼져버리는거 같습니다.
system.exe파일은 시스템 모니터링 툴로 본 결과 통신은 하고있었습니다.
ProcessExplorer로보니 system.exe가 켜져있고 Cport로 본결과 1227 로컬 포트를 통해 85.17.138.130에게 무언가를 보내고 있습니다. 또 같이 테스트를 할때 켜 놓은 SysAnalyzer도 봐보겠습니다.
TCPview로 봐보니 역시나 통신을 하고 있고 옆에화면을 보니 3개의 IP가 잡히고 DNS Requests를 보니
사이트가 있습니다. sex.pornoturkiye.com??? 쫌.. 좋은 사이트는 아닌거 처럼 보이는군요. 이제 저런 사이트들과 통신을 한다는 정보를 가지고 분석을 시도해봤습니다. 먼저 745.exe파일을 열어보았습니다. 간단히 UPX패킹이 되어있었습니다.
그건 그냥 언패킹 하고 분석을 하겠습니다.
먼저 분석을 하기전에 어떠한 함수들이 쓰였는지, 어떠한 문자열이 사용됬는지부터 보고 시작합니다.
응?? 함수가 하나도 없네요. data 디렉토리에서 export, import 테이블을 보겠습니다.
사용되는 함수가 하나도 없는건 아닐탠데 이거 참..
일단 이에 대한 내용을 분석해본 결과 EP에서 가장 처음 호출하는 함수에서 각 dll에 대한 정보를 가지고 필요한 함수들을 가져옵니다. 가장 처음으로는 kernel32.dll의 베이스 주소를 얻어왔습니다. 얻어오는 부분입니다.
먼저 PEB구조체 정보에서 PPEB_LDR_DATA로 다시 들어와
InInitializationOrderModuleList값을 읽게 됩니다.
InInitializationOrderModuleList에서 이제 Kernel32.dll 모듈의 정보를 담고 있는 구조체를 찾습니다.
( 가장 처음 만나게 되는 dll은 ntdll 모듈 구조체, 그 다음이 Kernel32.dll )
찾으면 Kernel32.dll의 베이스 주소를 얻어오는 역할을 하는 부분입니다.
저도 잘 몰랐는데 FS:[30] 은 PEB에서 어떠한 정보를 가져오는 것은 알고 있었기 때문에 찾아본것입니다.
아무튼 위와 같은 방법으로 Kernel32.dll의 베이스 주소를 가져오게 되고 필요한 함수들의 주소를 쭉쭉 찾아서
.data섹션에 전부 넣고 있습니다. Kernel32.dll만 사용하는 것이 아니라 여러 dll을들 가져오고 그 dll에서 함수 주소를 가져오는 방법을 썼습니다. 그래서 뽑아낸 함수 목록 입니다.
이제 나머지 dll들도 많이 있는데 나머지는 kernel32.dll에서 얻은 GetMouleHandle, LoadLibrary함수를 사용해
dll정보를 가져오는 방법을 사용하고 있습니다.
00409648 7C809BD7 ?| kernel32.CloseHandle
0040964C 7C8286D6 ?? kernel32.CopyFileA
00409650 7C81D827 '?| kernel32.CreatePipe
00409654 7C80236B k#| kernel32.CreateProcessA
00409658 7C8104BC ?? kernel32.CreateRemoteThread
0040965C 7C865B1F [? kernel32.CreateToolhelp32Snapshot
00409660 7C8106C7 ?? kernel32.CreateThread
00409664 7C81CAFA 憲? kernel32.ExitProcess
00409668 7C80C0E8 窩| kernel32.ExitThread
0040966C 7C80DE85 끴| kernel32.GetCurrentProcess
00409670 7C8099B0 컳| kernel32.GetCurrentProcessId
00409674 7C8097B8 툠| kernel32.GetCurrentThreadId
00409678 7C81AB3B ;쳛| kernel32.GetExitCodeProcess
0040967C 7C8115CC ?? kernel32.GetFileAttributesA
00409680 7C93FE01 ?| ntdll.RtlGetLastWin32Error
00409684 7C80B55F _?| kernel32.GetModuleFileNameA
00409688 7C80B731 1?| kernel32.GetModuleHandleA
0040968C 7C80AE30 0?| kernel32.GetProcAddress
00409690 7C801EF2 ?| kernel32.GetStartupInfoA
00409694 7C812B6E n+? kernel32.GetVersionExA
00409698 7C82134B K? kernel32.GetWindowsDirectoryA
0040969C 7C801D7B {| kernel32.LoadLibraryA
004096A0 7C801D53 S| kernel32.LoadLibraryExA
004096A4 7C8309D1 ?? kernel32.OpenProcess
004096A8 7C82FBF0 終? kernel32.OpenThread
004096AC 7C860817 ? kernel32.PeekNamedPipe
004096B0 7C864DF5 ?? kernel32.Process32First
004096B4 7C864F68 hO? kernel32.Process32Next
004096B8 7C801812 | kernel32.ReadFile
004096BC 7C83290F )? kernel32.ResumeThread
004096C0 7C802446 F$| kernel32.Sleep
004096C4 7C83974A J뾻| kernel32.SuspendThread
004096C8 7C801E1A | kernel32.TerminateProcess
004096CC 7C86503A :P? kernel32.Thread32First
004096D0 7C8650EE ?? kernel32.Thread32Next
004096D4 7C809B02 ?| kernel32.VirtualAllocEx
004096D8 7C809B92 뮎| kernel32.VirtualFreeEx
004096DC 7C80BA30 0?| kernel32.VirtualQueryEx
004096E0 7C801AD4 ?| kernel32.VirtualProtect
004096E4 7C801A61 a| kernel32.VirtualProtectEx
004096E8 7C80A164 d?| kernel32.WideCharToMultiByte
004096EC 7C810E17 ? kernel32.WriteFile
004096F0 7C802213 "| kernel32.WriteProcessMemory
004096F4 7C81CB23 #?| kernel32.TerminateThread
004096F8 7C801A28 (| kernel32.CreateFileA
004096FC 7C80A4B7 랠| kernel32.QueryPerformanceCounter
00409700 7C82FA36 6?| kernel32.QueryPerformanceFrequency
00409704 7C80932E .?| kernel32.GetTickCount
00409708 7C80D2F2 珍| kernel32.GetLocaleInfoA
0040970C 7C80FDBD 쐬| kernel32.GlobalAlloc
00409710 7C80FFA9 ?| kernel32.GlobalLock
00409714 7C80FF12 | kernel32.GlobalUnlock
00409718 7C830D64 d.? kernel32.lstrcmpA
0040971C 7C8312D5 ?? kernel32.TransactNamedPipe
00409720 7C835DE2 ?? kernel32.GetTempPathA
00409724 7C831EC5 ?? kernel32.DeleteFileA
00409728 7C82C330 0횂| kernel32.SetPriorityClass
0040972C 7C809AE1 ?| kernel32.VirtualAlloc
00409730 7C80AC6E n?| kernel32.FreeLibrary
00409734 7C83089D ?? kernel32.CreateEventA
00409738 7C802530 0%| kernel32.WaitForSingleObject
0040973C 7C85981A 쁾| kernel32.SetSystemTime
00409740 7C80E9CF 卷| kernel32.CreateMutexA
00409744 7C8024B7 ?| kernel32.ReleaseMutex
00409748 7C8623AD ?? kernel32.WinExec
0040974C 7C814F7A zO? kernel32.GetSystemDirectoryA
00409750 7C8214CB ?? kernel32.GetDriveTypeA
00409754 7C812812 (? kernel32.SetFileAttributesA
00409758 77F5EFFC 誨? advapi32.AdjustTokenPrivileges
0040975C 77F7C208 차w advapi32.LookupPrivilegeValueA
00409760 77F5797B {y? advapi32.OpenProcessToken
00409764 77F5EAD7 裏? advapi32.RegSetValueExA
00409768 77F7BCC3 체? advapi32.RegCreateKeyA
0040976C 77F5D8EE 敵? advapi32.RegNotifyChangeKeyValue
00409770 77F56C17 l? advapi32.RegCloseKey
00409774 77F57842 Bx? advapi32.RegOpenKeyExA
00409778 77F5ECD5 礪? advapi32.RegDeleteValueA
0040977C 77F57AAB 쳚? advapi32.RegQueryValueExA
00409780 77F5E9E4 昻? advapi32.RegCreateKeyExA
00409784 719E3FED ?엚 ws2_32.WSACleanup
00409788 719E6A55 Uj엚 ws2_32.WSAStartup
0040978C 719F1040 @웥 ws2_32.accept
00409790 719E4480 D엚 ws2_32.bind
00409794 719E3E2B +>엚 ws2_32.closesocket
00409798 719E2E53 S.엚 ws2_32.ntohs
0040979C 719E3F50 P?엚 ws2_32.ioctlsocket
004097A0 719E8CD3 ?엚 ws2_32.listen
004097A4 719E676F og엚 ws2_32.recv
004097A8 719E4C27 'L엚 ws2_32.send
004097AC 719E4211 B엚 ws2_32.socket
004097B0 719E2EE1 ?엚 ws2_32.inet_addr
004097B4 719E4A07 J엚 ws2_32.connect
004097B8 719E5355 US엚 ws2_32.gethostbyname
004097BC 719E45C1 핬엚 ws2_32.inet_ntoa
004097C0 719E2EAD ?엚 ws2_32.ntohl
004097C4 719E2EAD ?엚 ws2_32.ntohl
004097C8 719E30A8 ?엚 ws2_32.select
004097CC 719E5449 IT엚 ws2_32.gethostname
004097D0 719E4521 !E엚 ws2_32.setsockopt
004097D4 719EE491 묇엚 ws2_32.gethostbyaddr
004097D8 719F0B68 h웥 ws2_32.getpeername
004097DC 77D307EA ?? user32.MessageBoxA
004097E0 77D10277 w? user32.OpenClipboard
004097E4 77D10D96 ?? user32.EmptyClipboard
004097E8 77D10F9E ?? user32.SetClipboardData
004097EC 77D10265 e? user32.CloseClipboard
004097F0 77D4CA7E ~桿w user32.BlockInput
004097F4 77D042ED ?? user32.SetForegroundWindow
004097F8 77D0B112 귈w user32.SetFocus
004097FC 77D0AF56 V?w user32.ShowWindow
00409800 77D0F3C2 찝? user32.SendMessageA
00409804 77D46783 긣? user32.keybd_event
00409808 77D1E4C0 잤? user32.VkKeyScanA
0040980C 77CFA8AD ?? user32.wsprintfA
00409810 77D1214A J!? user32.FindWindowExA
00409814 77D082E1 ?? user32.FindWindowA
00409818 77D09313 볂w user32.IsWindow
0040981C 77D01B3B ;? user32.RegisterDeviceNotificationA
00409820 77D0C17E ~죗w user32.DefWindowProcA
00409824 77D0EA5E ^慰w user32.RegisterClassA
00409828 77D0E4A9 ⒳? user32.CreateWindowExA
0040982C 77D0772B +w? user32.GetMessageA
00409830 77CF8BF6 ?? user32.TranslateMessage
00409834 77CF96B8 툟? user32.DispatchMessageA
00409838 76EE757A zu? dnsapi.DnsFlushResolverCache
0040983C 76EE76AD 춚? dnsapi.DnsFlushResolverCacheEntry_A
00409840 7E6EBC8B 떬n~ urlmon.URLDownloadToFileA
00409844 7D621150 Pb} shell32.ShellExecuteA
00409848 7D60AC11 ?} shell32.SHGetFolderPathA
0040984C 76992A53 S*셶 ole32.CoInitialize
00409850 7699057E ~셶 ole32.CoCreateInstance
00409854 7698EE46 F?v ole32.CoUninitialize
00409858 77BDC407 캭w msvcrt.malloc
0040985C 77BF7CE5 ?퓑 msvcrt.strtok
00409860 77BEF931 1夏w msvcrt.sprintf
00409864 77BF1B72 r퓑 msvcrt.sscanf
00409868 77BCBF18 옘w msvcrt.atoi
0040986C 77BFA995 빀퓑 msvcrt.clock
00409870 77BDC21B 쩍w msvcrt.free
00409874 77BEF010 助w msvcrt.fopen
00409878 77BF11FB ?퓑 msvcrt.fread
0040987C 77BF0AB1 ?퓑 msvcrt.fclose
00409880 71A54DC2 헜쩻 mpr.WNetCancelConnection2A
00409884 71A54AC4 횶쩻 mpr.WNetAddConnection2A
이제 분석에 필요한 API함수들에 브포를 전부 걸어놓고 실행을 시키면서 분석을 했습니다.
그나마 가장 빨리 분석할 수 있는 방법 같습니다.
하지만 이 파일에서는 특별한 것은 찾을 수 없었고 단순히
745.exe파일을 이름을 system.exe파일로 바꿔서 system32 폴더에 생성시키고 있었습니다.
그리고 system.exe 파일을 실행시키고 있었습니다. 그리곤? 끝나버리더군요.
( 분석하면서 스샷을 못찍어서 그냥 이 부분은 말로 넘어가겠습니다. 그닥 스샷까지 찍을 필요는 없는 부분이라서요;;
사용된 함수라고 해봤자.. CreateFile, CopyFile, SetFileAttributes, WinExec 이런 함수들이었습니다. )
우리가 진짜 분석해야될 파일은 745.exe가 아닌 system.exe파일 인거 같습니다.
참.. 745파일에서 또 하나 해주고 있던게 있습니다.
바로 시스템 시간을 2090년 1월 1일 오전 10시 1분 00초로 바꾸더군요..
이제 system.exe파일을 분석하겠습니다.
분석을 들어가는데 745.exe파일과 같은 파일이므로 아까 같이 함수를 전부 얻어온 후 브포를 걸고 분석을 해야되겠죠.
제가 분석을 원하는 함수들에 브포를 걸어두고 시작했습니다.
=============그림 없음..===================
00402B71 |. FF15 60974000 CALL DWORD PTR DS:[409760] ; advapi32.OpenProcessToken
0012FCBC FFFFFFFF |hProcess = FFFFFFFF
0012FCC0 00000028 |DesiredAccess = TOKEN_QUERY|TOKEN_ADJUST_PRIVILEGES
0012FCC4 0012FCC8 \phToken = 0012FCC8
00402B86 |. FF15 5C974000 CALL DWORD PTR DS:[40975C] ; advapi32.LookupPrivilegeValueA
0012FCBC 00000000 |SystemName = NULL
0012FCC0 004095CC |Privilege = "SeDebugPrivilege"
0012FCC4 0012FCCC \pLocalId = 0012FCCC
00402BBB |. FF15 58974000 CALL DWORD PTR DS:[409758] ; advapi32.AdjustTokenPrivileges
0012FCB0 00000074 |hToken = 00000074 (window)
0012FCB4 00000000 |DisableAllPrivileges = FALSE
0012FCB8 0012FCD4 |pNewState = 0012FCD4
0012FCBC 00000010 |PrevStateSize = 10 (16.)
0012FCC0 00000000 |pPrevState = NULL
0012FCC4 00000000 \pRetLen = NULL
SeDebugPrivilege로 권한 변경, 실행 중인 응용프로그램의 프로세스 핸들을 얻을 수 있다고 합니다.
OpenProcess로 얻어올수 있는데 ...
ntdll.ZwSystemDebugControl 의 주소 얻어옴
유저모드 ring3에서 ring 0의 값들을 읽어오기도 하고 포트로 직접 데이터를 가져오기도 보내기도 할 수 있다.
004028C0 |. FF15 8C964000 CALL DWORD PTR DS:[40968C] ; kernel32.GetProcAddress
0012FCB0 009D0000 |hModule = 009D0000 (ntkrnlpa)
0012FCB4 0040A5E0 \ProcNameOrOrdinal = "KeServiceDescriptorTable"
00402AA1 |. FF15 28974000 CALL DWORD PTR DS:[409728] ; kernel32.SetPriorityClass
0012FCD8 FFFFFFFF |hProcess = FFFFFFFF
0012FCDC 00000100 \Priority = REALTIME_PRIORITY_CLASS
자기 프로세스 우선순위 최고로 높힘
00402AB4 |. E8 4EFFFFFF CALL system.00402A07
앵?? BSOD 에러!
INT 2E
보통은 SYSENTER로 들어가는데 아주 옛날에 만들어진 바이러스 인가??
하지만.. 해당 부분 트레이스 하지 않고 실행시키면 BSOD에러 뜨지 않음..뭐지..
끝나고 아무튼 다시 우선순위 Normal로 내림
"Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon"
부팅후 자동 로그온하게 하는 곳에 레지값 설정
00401BE4 |. FF15 4C964000 CALL DWORD PTR DS:[40964C] ; kernel32.CopyFileA
0012FCF4 00409B34 |ExistingFileName = "C:\Documents and Settings\Administrator\바탕 화면\system.exe"
0012FCF8 0040AD30 |NewFileName = "C:\WINDOWS\system32\7775524"
0012FCFC 00000000 \FailIfExists = FALSE
7775524라는 파일을 생성. 하지만 이 파일명은 바이러스를 새로 실행할때마다 바뀌게 됨
7775524파일은 system.exe와 100% 동일. 하지만 확장자 없음.
CreateToolhelp32Snapshot, Process32First, lstrcmp, Process32Nest 함수를 사용해
explorer.exe가 현재 프로세스에 있는지 확인. 즉, 바탕화면이 띄워져 있는지 확인.
해당 함수에서 바탕화면 존재시 0x454리턴. 0x454는 explorer.exe의 프로세스 ID
바탕화면 핸들 얻어옴.
explorer.exe에 인젝션 한다.
먼저
VirtualAllocEx로 첫번째 인자는 바탕화면 핸들을 전달하는걸로 봐서 바탕화면의 가상메모리 공간에 영역 확보
WriteProcessMemory로 system.exe에서 사용된 API함수들 넣음.
그 다음으로 넣는 것은 system.exe 절대 경로.. system.exe가 꺼지면 바로 키기 위함 인가?? ^^
또 다시 WriteProcessMemory로 넣고 있는게 있다.
004010FF 55 8B EC 51 51 6A 00 68 80 00 00 00 6A 03 6A 00 U뗭QQj.h...jj.
0040110F 6A 00 68 00 00 00 80 8B 45 08 83 C0 04 50 8B 45 j.h...딢꺚P딢
0040111F 08 8B 00 FF 90 B0 00 00 00 89 45 F8 6A 01 58 85 ?맧...덭?X
0040112F C0 0F 84 8E 00 00 00 8B 45 08 05 08 01 00 00 50 ?꼶...딢..P
0040113F 6A 00 6A 00 8B 45 08 8B 00 FF 90 F8 00 00 00 89 j.j.딢?먾...
0040114F 45 FC 8B 45 08 8B 00 FF 50 38 3D B7 00 00 00 74 E?E?P8=?..t
0040115F 3A FF 75 F8 8B 45 08 8B 00 FF 10 FF 75 FC 8B 45 :u?E?u?E
0040116F 08 8B 00 FF 90 FC 00 00 00 FF 75 FC 8B 45 08 8B ?멄...u?E
0040117F 00 FF 10 6A 00 8B 45 08 83 C0 04 50 8B 45 08 8B .j.딢꺚P딢
0040118F 00 FF 90 00 01 00 00 33 C0 EB 2C FF 75 FC 8B 45 .?..3잼,u?E
0040119F 08 8B 00 FF 90 FC 00 00 00 FF 75 FC 8B 45 08 8B ?멄...u?E
004011AF 00 FF 10 68 B8 0B 00 00 8B 45 08 8B 00 FF 50 78 .h?..딢?Px
004011BF E9 67 FF FF FF 33 C0 C9 C2 04 00 55 8B EC 51 ?3읠?.U뗭Q
처음 시작 부분 55 8BEC 이부분만 봐도 알수 있을꺼같다. 어떠한 소스이다. 함수 프롤로그네..
소스코드는 올디에서 어셈으로 보기하면 알 수 있다. 하지만 이 함수를 쓰기 위해 [ebp+8] 이런 부분이 있는걸로 보아..
이 함수를 호출할때 어떠한 인자가 사용됬는지도 알아야 할꺼같다. 직접 바탕화면 프로세스를 까야될꺼같네요.
제대로 분석할 마음이 없어서.. 이 부분은 패스하겠습니다. 아무튼 바탕화면 프로세스에 무언가를 인젝션하는..
DLL Injection같은 경우는 백신에서 잘 잡기 때문에 역시나 코드 인젝션을 한거 같습니다.
C:\Documents and Settings\Administrator\Local Settings\Temp 폴더에 43282.sys파일 생성 ( 생성시마다 파일명 계속 바뀜 )
해당 드라이버 로드.
이 드라이버가 어떠한 일을 하는지는 분석 안함.;;
그 후 소켓 통신......
직접 함수를 분석해도 되고 올디 소켓 트레이스 플러그인 사용해 간단히 분석
별 내용없다.. recv 부분에서도 PING :index.html 이러한 문자열만 받아온다.
오래지난 바이러스라 해당 서버가 막힌듯...
너무 할일 없어서... 그냥 써본것입니다. 읽을건 딱히 없네요.
실력도 많이 쌓이면 그 때부터 제대로 바이러스 분석하는 것을 올려볼 생각입니다.
'My Study > Malware&Vulnerabilities' 카테고리의 다른 글
| CodeEngn Malware Analysis Level5 (0) | 2010.05.04 |
|---|---|
| CodeEngn Malware Analysis Level4 (0) | 2010.04.28 |
| CodeEngn Malware Analysis Level3 (0) | 2010.04.27 |
| CodeEngn Malware Analysis Level2 (0) | 2010.04.27 |
| CodeEngn Malware Analysis Level1 (0) | 2010.04.18 |
