RedScreen

 ||| Chapter 03 :: system() 함수의 위험성 |||

안녕하세요. Message입니다. Lv3 달립니다!

안녕하세요. Message입니다.

Lv1 끝내고 또 손을 놔버렸네요...달려야겠습니다.

이번 챕터는 제목이 인상적이네요..ㅎㅎ

실습환경 : FTZ 로컬 서버(RedHat Linux) + Vmwre 12.1.0 build

참고서적 : 문제풀이로 배우는 시스템 해킹 테크닉 / 여동기님 / 위키북스

------------------------------------------------------------------------------------------------------------------------------------------

VI 편집기에서 명령어 실행이 가능한 부분을 이용한 문제였습니다.

하나씩 알아가는 재미가 있네요 ㅎㅎ

감사합니다.

안녕하세요. Message입니다.

시스템해킹에 대해서 배우고자 해커스쿨의 FTZ를 이용한 문제풀이를 포스팅하려 합니다.

Unix 계열 운영체제는 잠시 손을 놓으면 어색해지지만... 이번 기회를 통해 다시 친숙해지려 합니다.

실습환경 : FTZ 로컬 서버(RedHat Linux) + Vmwre 12.1.0 build

참고서적 : 문제풀이로 배우는 시스템 해킹 테크닉 / 여동기님 / 위키북스

------------------------------------------------------------------------------------------------------------------------------------------

00. 준비

------------------------------------------------------------------------------------------------------------------------------------------

무언가 하려고 하면 항상 환경 세팅에서 진이 빠지는 경우가 많은듯 합니다.

저같은 경우 한글깨짐 현상과 telnet 접속 시 자꾸 오류가 발생하더군요.

1) 한글깨짐

만약 한글이 깨진다면 아래와 같이 putty의 translation 속성을 Use font encoding을 바꿔줍니다.

2) Telnet 접속 안될 때

FTZ서버에 ping은 가지만 Telnet 접속이 안되더군요

방화벽과 백신도 꺼보고, 기능추가에서 telnet 활성화도 해보고.. 로컬 환경도 구축해봤지만 안됐습니다.

그래서 Telnet 접속을 포기하고 22번 포트로 SSH 접속했습니다. 실습하는데 지장은 없으니

안되시는 분들은 이렇게라도...

------------------------------------------------------------------------------------------------------------------------------------------

01. 문제파악

------------------------------------------------------------------------------------------------------------------------------------------

Level1에 접속하여 주어진 문제환경을 파악합니다.

1개의 파일과 2개의 폴더가 존재합니다.

레벨마다 주어지는 hint 파일의 내용을 확인합니다.

hint 파일의 내용은 아래와 같고, Level2 권한에 setuid가 걸린 파일을 찾는 내용입니다.

Tip. SETUID

setuid가 설정되면 소유자가 아니더라도 실행 시 일시적으로 소유자의 권한으로 실행됩니다.

파일을 실행할 때 사용자의 UID를 사용하는 것이 아니라 파일의 inode 정보로부터 파일 소유자의 UID를 받아서 실행합니다. 

------------------------------------------------------------------------------------------------------------------------------------------

02. 문제분석

------------------------------------------------------------------------------------------------------------------------------------------

무언가를 찾는 명령어는 find 입니다.

하지만 우리가 찾는 파일은 setuid가 걸린 파일이므로 -perm 옵션과 -user 옵션을 사용합니다.

옵션1  :  -perm +6000  -->  setuid or setgid가 걸린 파일 찾기

옵션2  :  -user level2    -->  level2 or level1의 권한

해당 옵션을 이용하여 검색한 결과는 아래와 같습니다.

하지만 오류가 많이 떠서 한번에 식별하기가 어렵습니다.

검색 결과 중에서 에러가 발생한 결과를 제외하는 옵션 2> /dev/null을 사용해줍니다.

여기서 숫자 2는 표준에러(STDERR)를 뜻하고, /dev/null은 휴지통을 뜻합니다. (에러를 휴지통에 슝~)

해당 옵션을 사용한 결과는 아래와 같습니다.

파일의 허가권(Permission)과 소유권(Ownership)을 살펴보면 주목해야할 점이 있습니다.

1) 허가권 : SUID가 설정되어 있으므로 해당 파일을 실행하면 파일의 소유자 권한으로 실행됩니다 --> -rwsr-x---

2) 소유권 : 그룹 Level1이 해당 파일을 소유하므로 Level1인 우리도 저 파일을 실행시킬 수 있습니다. -rwsr-x--- 1 level2 level1

정리하면, 우리는 저파일을 실행시킬 수 있으며 실행시킬경우 Level2의 권한으로 실행할 수 있다는 점입니다.

찾아낸 파일을 실행해보면 아래와 같은 메세지를 볼 수 있습니다.

my-pass와 chmod는 제외하라고 되어 있으므로, bash 명령어로 Level2의 권한을 획득합니다.

그럼 1회성 권한이 아닌, 지속적인 Level2 권한으로 원하는 행위를 할 수 있습니다.

FTZ에서 제공하는 my-pass명령어를 이용하여 Level2의 암호를 알아냅니다.

답 : hacker or cracker

Tip. PERM의 플러스(+), 마이너스(-) 차이

find 명령어의 perm 옵션에 달린 플러스(+)와 마이너스(-)의 차이는

입력하는 숫자에 해당하는 퍼미션을 완벽하게 만족하느냐? 아니면 일부만 만족해도 되느냐? 입니다.

이해하기 어려우니 해커스쿨에 있는 글에 따라 저도 테스트해보았습니다.

먼저 아래와 같이 touch 명령어를 이용하여 7개의 파일을 만듭니다.

그리고 ls -al 명령어로 퍼미션을 확인합니다.

이후 마이너스(-) 옵션으로 find 명령어를 수행하면

아래와 같이 300옵션에 해당하는 wx(쓰기, 실행) 권한이 모두 설정되어 있는 파일만 검색이 되었습니다.

한마디로 깐깐한 검색이 되겠죠.

이후 플러스(+) 옵션으로 find 명령어를 수행하면

아래와 같이 300옵션에 걸려있는 w(쓰기), x(실행) 권한중 한개라도 설정되어 있으면 검색이 됩니다.

한마디로 너그러운(?) 검색이 되겠네요.

------------------------------------------------------------------------------------------------------------------------------------------

03. GDB 이용한 상세분석

------------------------------------------------------------------------------------------------------------------------------------------

원래 bash쉘을 획득하여 my-pass를 알아내면 다음 단계로 넘어가지만,

GDB를 이용하여 ExcuteMe 파일의 상세 동작원리를 분석합니다.

2) 흐름파악

disas main의 출력결과를 통해 프로그램의 실행 흐름을 파악할 수 있습니다.

① system 함수로 명령어를 실행

② chdir 함수로 디렉터리를 이동

③ printf 함수로 문자열을 출력

④ fgets 함수를 이용한 사용자 입력

⑤ strstr 함수를 이용하여 금지문자열과 입력 받은 사용자 문자열 비교 : my-pass, chmod

⑥ 금지명령어가 아닌경우 실행 루틴으로 이동

⑦ setreuid(3002, 3002) 함수를 이용해 실행되는 파일의 User ID 권한을 Level2 계정으로 설정

⑧ system 함수를 이용해서 입력받은 문자열을 리눅스의 명령어로 실행

3) 주요 함수 분석

① printf

disas main 명령어를 이용하여 아래로 내려가다 보면 printf 함수가 많이 나옵니다.

내용은 아까 우리가 보았던 "레벨 2의권한으로 당신이 원하는...." 을 화면에 찍는 용도입니다.

마지막 printf 함수에 push 되는 인자값들을 x/s 명령어를 이용하여 살펴보면,

아래와 같이 level2의 쉘처럼 "[level2@ftz level2]$" 를 프린트 하는것을 볼 수 있습니다.

한마디로 실제 쉘이 아니라, 프로그램이 의도적으로 printf 한 내용이라는 것을 알 수 있습니다.

② setreuid + system

프로그램의 마지막 부분을 보면 setreuid와 system 함수를 볼 수 있습니다.

setreuid 함수에 들어가는 인자값은 UID와 GID값이고, 둘다 0xbba(3002) 입니다.

3002는 Level2의 UID값입니다. 참고로 Level1은 3001입니다.

해당사항은 id명령어나 /etc/password 를 확인하면 알 수 있습니다.

Tip. UID란?

시스템 내에서 사용자를 식별할 수 있는 유일한 값입니다. GID는 UID들이 소속되어 있는 그룹ID 입니다.

4) 결과정리

정리하면, setreuid 함수를 이용하여 Level2의 권한을 획득한 뒤, 

뒤에 따라나오는 system 함수를 실행하는 것이 프로그램의 주요 기능입니다.

------------------------------------------------------------------------------------------------------------------------------------------

10. 0x1000FF58에서 서브루틴으로 수백 라인은 문자열을 비교하기 위한 일련의 memcmp 비교다.

      robotwork와 문자열 비교가 성공적으로 이뤄지면 무슨 일이 일어나는가? (memcmp가 0을 반환)

------------------------------------------------------------------------------------------------------------------------------------------

일단 문제에서 주어진 문자열 "robotwork"를 찾습니다.

Strings window에서 검색기능을 이용하여 robotwork를 찾습니다.

해당 문자열은 xdoor_s 섹션에 있고,

상호참조 리스트를 이용하여 어디서 사용되고 있는지 확인합니다. (정말 좋은 기능이네요..)

다른 memcmp 함수와 동일하게 사이즈, 사용자입력값, 비교문자열 3가지 인자를

push하고 memcmp를 호출합니다.

memcmp는 두 비교문자열이 같으면 0을 결과값으로 반환합니다.

test eax eax 명령어를 수행해여 

1) 결과값 0 반환 -->  (문자열이 같음)  -->  ZF=1 세팅  -->  loc_10010468 Jump

2) 결과값 0 아님 -->  (문자열이 다름)  -->  ZF=0 세팅  -->  loc_100052A2 Jump  (다음 문자열 비교)

문자열이 "robotwork"와 동일하면 loc_10010468으로 점프하게 되므로 

계속 트레이싱 하며 따라가면 아래와 같은 어셈블리 코드가 나옵니다.

코드가 갑자기 길어져서 한번에 파악하기는 힘들지만,

아래부분에 분홍색 RegOpenKeyExA API와 push되는 레지스트리 관련 문자열이 가장 눈에 확 들어옵니다.

RegOpenKeyExA API는 성공하면 ERROR_SUCCESS(0) 을 반환하고, 핸들키값을 넘겨줍니다.

1) API 호출에 성공  -->  test eax eax 명령어를 통해 0이 반환되며, loc_10005309로 Jump (오른쪽)

2) API 호출에 실패  -->  RegCloseKey API와 함께 종료 (왼쪽)

2번 케이스의 경우, Graph overview에서 독보적인 빨간색 화살표와 함께 서브루틴이 끝나는 것을 볼 수 있습니다.

1번 케이스의 경우, 아래와 같은 loc_10005309 서브루틴을 실행합니다.

역시 루키라 한번에 파악은 절대 안됩니다 OTZ...

분홍색의 RegQueryValueExA, sprintf, atoi 등의 API들이 가장 잘 보이고,

파란색의 API 인자값들이 눈에 띕니다. 

가장먼저 실행되는 RegQueryValueExA는 먼저 나온 RegOpenKeyExA, RegCloseKey와 세트로 등장하는 API입니다.

Syntax는 아래와 같으며, 해당 함수를 실행하기 위해 lpValueName "WorkTime"을 포함한 6개의 인자를 push하고

ebx에 저장해두었던 RegQueryValuesExA 함수를 call 하는 부분을 위의 어셈블리 코드에서 볼 수 있습니다. 

만약 여기서 함수 호출에 실패하면 loc_10005379로 Jump하게 되는데,

lpValueName값을 "WorkTimes" 로 변경해서 호출합니다.

어쨋든, WorkTime 또는 WorkTimes의 값을 얻게 되면

atoi값을 이용하여 int형태로 변경한 뒤 sprintf 함수를 이용하여 지정된 형식대로 문자열을 만듭니다  --> [Robot_WorkTime : %d]

이후 sub_100038EE로 분기하여 sned 함수로 값을 전송합니다.

답 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion에 있는 WorkTime or WorkTimes 레지스트리 값을 전송

Tip. 인자(argument) vs 매개변수(parameter)

#1 : http://redscreen.tistory.com/66

안녕하세요. Message입니다.

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 5-1을 분석합니다.

분석환경은 Windows 7 Ultimate 64x / Vmwre 12.1.0 build 입니다.

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 3-4 을 분석해보고자 합니다.

분석환경은 Windows XP / Vmware 12.1.0 build 입니다.

1. 파일을 실행하였을 때 어떤 일이 발생했는가?

1) 기본 분석

파일을 실행하기 앞서, 기본적인 분석을 수행합니다.

패킹여부, 문자열 추출, DLL 리스트 등을 확인하며 특이사항을 체크합니다.

- 문자열추출

Strings 툴을 이용하여 문자열을 추출합니다.

이중에 유심히 봐야할 문자열은 아래와 같습니다

- 도메인명 : http://www.practical...(중략)..analysis.com

- 레지스트리 위치 : SOFTWARE\Microsoft\XPS

- 문자열 : DOWNLOAD, UPLOAD

- 커맨드라인 파라미터 의심 문자열 : -cc, -re, -in

- DLL 확인

DWalker로 어떤 함수를 사용하는지 확인합니다.

KERNEL32.DLL의 경우, 너무 많은 함수를 참조하기 때문에 한눈에 들어오지 않지만

ADVAPI32.DLL은 서비스 관련 함수와 레지스트리 관련 함수들이 눈에 띄고,

SHELL32.DLL에서 ShellExecuteA 함수가 확 들어옵니다.

나중에 상세 분석을 하기 위해, 해당 내용들은 기억해둡니다.

2) 파일실행

파일을 실행하면 특정 프로세스(conime.exe)를 실행 시킨 후, 스스로 삭제됩니다.

(보통 conime.exe만 나타났지만..여러번의 시도 끝에 Lab03-04.exe와 동시에 나타난 순간을 캡쳐했습니다)

어떤 원리로 삭제되는지 알아보기 위해 ProcMon을 실행시킨 뒤, 프로세스 이름으로 필터를 설정합니다.

하지만 필터를 설정했음에도 불구하고, 너무나 많은 이벤트가 발생하는 것을 볼 수 있습니다.

따라서 추가적인 필터가 필요합니다. (이때 .exe를 빠뜨리면 안됩니다)

아래와 같이 Operation에 Process Create 를 필터로 추가 설정하였습니다.

그럼 아래와 같이 이벤트가 1개로 줄어든 것을 볼 수 있습니다.

탐지된 이벤트를 더블클릭하여 확인해 보면

아래와 같이 cmd를 이용한 del 명령으로 스스로를 삭제하는 커맨트를 발견할 수 있습니다.

2. 동적 분석 시 장애물이 무엇인가?, 이 파일을 실행시키는 다른 방법이 있는가?

해당 악성코드가 스스로 삭제되는점을 미루어 보아,

분석을 위한 도구 또는 컴포넌트가 필요한 것 같습니다.

해당 내용은 9장에서 다룬다고 하니, 해당 내용을 공부하고 돌아와야 겠군요!

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 3-3 을 분석해보고자 합니다.

분석환경은 Windows XP / Vmware 12.1.0 build 입니다.

1. Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가?

분석할 파일은 Lab03-03.exe 입니다.

Process Explorer를 실행하고, 해당 실습파일을 실행시키면

아래와 같이 Lab03-03.exe이 실행되고, 서브프로세스인 svchost.exe가 같이 실행되는것을 볼 수 있습니다. (초록색) 

하지만 1~2초 정도 시간이 지나면, 아래와 같이 서브프로세스인 svchost.exe만 고아 프로세스로 동작하는 것을 볼 수 있습니다.

책에서는 svchost.exe가 고아 프로세스라는 사실이 매우 일반적이지 않으며, 아주 의심스럽다고 표현합니다.

(아마 이런 부분은 많은 경험을 쌓아야 알 수 있겠죠...ㅜㅜ...)

svchost.exe의 경우, 바로 전 문제인 3-2 문제에서 특정 DLL 파일을 실행시키기 위한 수단으로 사용되었습니다.

2. 실시간 메모리 변조를 확인할 수 있는가?

Process Explorer에서 svchost.exe의 속성 -> Strings 탭으로 이동하면

디스크와(Image) 메모리(Memory)에 있는 실행이미지를 볼 수 있습니다.

Image와 Memory를 반복하여 누르면, 이미지가 상당 부분 일치하지 않음을 알 수 있습니다.

3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?

위 스크린샷에서 몇가지 특이한 문자열을 발견할 수 있는데,

practicalmalwareanalysis.log나 [ENTER]와 같은 문자열은 svchost에서 일반적으로 발견되지 않습니다.

아래에서 나오겠지만, 사용자가 입력한 엔터값이나 쉬프트값 등을

악성코드 제작자가 쉽게 알아보기 위해 '[ENTER]'와 같은 문자열로 대체하여 기록하기 위해 사용합니다.

(이번 경험을 통해서, 나중에 저런 문자열을 보면 키로깅 행위를 먼저 의심해 볼 수 있겠습니다.)

실제 키로깅 행위를 하는지 Process Monitor 툴을 이용하여 확인해보겠습니다.

1) ProcMon 필터설정

Process Explorer에서 생성되는 PID를 확인한 후, 아래와 같이 필터를 설정합니다.

2) ProcMon 이벤트값 확인

이후 메모장을 열어 아무 글자나 타이핑 한 뒤, 결과를 살펴보면

practicalmalwareanalysis.log 파일에서 CreateFile, WriteFile 등의 이벤트가 발생하는것을 볼 수 있다.

3) DWalker DLL 확인

DWalker를 이용하여 어떤 함수를 사용하는지 확인해보았습니다.

KERNEL32 DLL의 많은 함수를 사용하는것을 확인할 수 있었고,

CreateFile(파일생성), WriteProcessMemory(원격프로세스 데이터 작성, DLL인젝션에 사용 가능) 등이 보입니다.

4. 이 프로그램의 목적은 무엇인가?

ProcMon에서 발견한 practicalmalwareanalysis.log 파일을 편집기로 열어보면,

사용자 입력값이 프로그램 이름과 함께 기록되어 있음을 확인할 수 있습니다.

따라서, svchost.exe로 가장한 키로거로 판단할 수 있습니다.

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 3-2 을 분석해보고자 합니다.

분석환경은 동일하게  Windows XP / Vmware 9.0.3 build 입니다.

1. 악성코드가 설치된 방법

분석할 파일은 Lab03-02.dll 입니다. 실행파일이 아닌 DLL이 어떻게 설치되었을까요?

일단 주어진 유일한 파일이 DLL파일이니, 분석해보면 답이 나올 것 같습니다.

DWalker로 어떤 Export 함수가 있는지 확인해볼까요.

우리가 알아내야 하는 [어떻게 설치가 되었는가]에 대한 실마리가 보입니다.

바로 Install과 installA 두개의 함수인데요(대소문자주의),

installA 함수를 살펴보니 별다른 기능은 없이 Install 함수를 호출하는군요.(아래 스샷 참고)

따라서 CMD창에서 아래와같이 입력해주면 설치가 되는데요(Rundll32.exe를 이용하여 설치하는 방법은 교재에 나와있습니다.)

대소문자 주의해주세요.(installA 맨앞에 i가 소문자임)

아, 그리고 실행하기 전에 RegShot, ProcMon, SystemExplorer, WinAlysis와 같은 스냅샷 기능의 툴을 실행시켜줍니다.

이렇게해서 악성코드가 설치가 되었습니다. 다음으로 슝슝~

2 . 설치후 실행방법과 동작 프로세스

어떻게 실행이 되는지 알아봅시다. 설치전에 시켜놓은 스냅샷을 비교해볼까요?

아래 스샷은 SystemExplorer를 이용하여 스냅샷을 비교한 내용인데요,

스냅샷을 비교해보니 HKLM 하이브(루트키) 내부의 Service 레지스트리 키값 아래로 

폴더모양의 IPRIP 레지스트리 키(Key)가 새로 생성되었고

IPRIP 키 안에 10개의 값들이 추가된것을 확인할 수 있었습니다.

아마도 실행시키면 레지스트리 서비스(IPRIP) 내부에 본인을 설치하는 악성코드인 모양입니다.

그런데 왜 악성코드는 레지스트리 서비스에 본인을 설치했을까요?

그것에 대한 힌트는 ImagePath 값에 있는 "svchost.exe -k netsvcs" 부분입니다.(아래 svchost.exe 세부내용 참조)

[svchost.exe에 대하여...]

우리가 흔히 보았던 svchost.exe 프로그램은 윈도우즈 서비스를 백그라운드로 구동하는 프로세스입니다.

원래 윈도우즈 서비스는  WinLogon.exe가 호출하는 Services.exe(SCM:서비스제어관리자)에 의해 관리되지만

예외적으로 DLL 기반의 서비스는 svchost.exe에 의해 관리됩니다.

(우리가 실습중인 악성코드는 DLL 기반이기 때문에 svchost에 의해 실행되겠네요 ^^) 

svchost.exe는 윈도우 부팅시 윈도우 레지스트리의 Service항목을 검색하여 목록을 만듭니다.

HKLM\System\CurrentControlSet\Services 내부에 등록된 서비스에서 Parameters 키 내부에 ServiceDLL값이

들어 있는 서비스들을 묶어 실행시킬 목록을 형성합니다. 이해가 안간다면 우리가 분석중인 악성코드를 통해 이해해봅시다.

아니나 다를까, IPRIP 서비스이름 아래 Parameters 키가 뙇!! 그 안에 ServiceDll이 뙇!!

따라서 이 악성코드는 이제 svchost.exe가 자동으로 실행시켜주는 서비스 기반의 악성코드로 판별이 되었습니다.

재부팅후 ProcessExplorer 메뉴탭에서 [Find] - [Find Handle or DLL] 기능을 이용하여 Lab03-02.dll을 검색하면

svchost.exe가 로드하여 사용하고 있음을 볼 수 있습니다.

(교재에서는 재부팅을 하지 않기 위해 CMD 에서 서비스를 구동할 수 있는 net 명령어로 실행시킵니다 : net start IPRIP)

[조금더..분석 - 정적분석]

우리가 분석중인 악성코드의 경우 서비스에 등록이 되어 시스템으로부터 호출이 되는 형식으로 분석이 되었는데요,

그렇다면 우리가 설치하기 위해 사용했던 InstallA 함수 이외에, 운영체제가 접근하는 콜백함수가 있어야합니다.

( *콜백함수 : 호출되는 함수를 알려주어 특정 이벤트 발생시 모듈이나 OS 등에서 함수를 호출할 수 있도록 하는 방법)

DLL을 이용하여 서비스에 등록을 하기 위해서는 main()에서 서비스 관리를 위한 ServiceMain()을 콜백으로 등록해야합니다.

우리 악성코드는 어떻게 등록되어 있을까요? 아래 스샷을 참조해봅시다.

3. 호스트기반 표시자 및 정보를 수집하는 ProcMon을 사용하기 위해 사용한 필터

악성코드를 실행하기 전 ProcMon을 실행시켜 놓았다면 ProcessExplorer에서 수집한 PID를 이용하여

필터를 적용할 수 있습니다.  위에서는 재부팅을 통하여 svchost가 악성코드를 실행시키는것을 관찰했지만

ProcMon을 통한 관찰을 위해 교재에서 사용한 CMD - net 명령어를 이용하겠습니다.

실행이 되면 아래와 같이 우리가 레지스트리 편집기에서 발견하였던 익숙한 텍스트가 우리를 반겨줍니다 (ㅋㅋ)

이후에 ProcessExplorer를 이용하여 알아낸 PID를 ProcMon 필터에 적용해줍니다.(PID는 시스템 or 재부팅시 다를 수 있음.)

5. 악성코드에서 유용한 네트워크 기반 시그니처

ApateDNS를 이용하면 아래와 같이 악성코드의 DNS 요청을 확인할 수 있습니다.

또한 NetCat을 이용하여 아래와 같은 네트워크 시그니처를 관찰할 수 있습니다.

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 3-1 을 분석해보고자 합니다.

(책에서도 1-4 다음에 바로 3-1로 넘어갑니다)

분석환경은 동일하게  Windows XP / Vmware 9.0.3 build 이며,

사용되는 툴은 Dependency Walker, Strings, ProcMon, Process Explore, ApateDNS, NetCat 입니다.

1. 악성코드의 임포트 함수와 문자열 확인하기

DWalker를 통하여 임포트된 DLL을 살펴보겠습니다.

근데..임포트 함수라고는 딸랑 ExitProcess 하나뿐이군요. 정상적인 기능을 수행하는 프로그램이라면 이런 경우는 거의 없지요.

아마 패킹이 되어 있는것 같습니다.

PEID로 확인해본 결과 PEncrypt 3.1 Final -> junkcode 로 패킹이 되어있네요.

패킹을 해제하기 전까지는 정적분석이 안될것 같습니다.

마지막으로 Strings를 이용하여 문자열을 확인해봅시다.

......(중략).....

패킹이 되어있기 때문에 문자열에서 많은 기대를 할 순 없지만, 마지막 부분에서

WinVMX32, VideoDriver, vmx32to64.exe, 레지스트리 위치, 도메인명 등의 주요 단서들이 발견되었습니다.

동적분석 & 정적분석을 통해 이 단서들이 어떻게 사용되는지 알아봅시다.

2. 악성코드임을 의미하는 호스트 기반 표시자 확인하기

3. 악성코드를 인식할 수 있는 네트워크 기반의 시그니처 확인하기

 악성코드 실행전 동적 분석을 위한 툴을 실행시킵니다. : ApateDNS, NetCat

[ApateDNS]

ApateDNS를 실행시킨 후 [Start Server]를 클릭하면 악성코드가 주기적으로

www.prac..(중략)..anlysis.com 으로 DNS 요청을 하는것을 볼 수 있습니다.

(혹시 Vmware XP에서 초기화 오류가 발생하는경우 MicroSoft Frame Work가 설치 안됐을 가능성이 높습니다.)

[NetCat]

ApteDNS에서 DNS Reply IP를 이용하면 NetCat을 이용하여 리다이렉션된 내용을 볼 수 있습니다.

(요거 설정 안된줄도 모르고 한참을...ㅠ)

리스닝모드로(-l) 포트443번(-p)을 모니터링하게되면 전송되는 256바이트의 무작위 데이터를 볼 수 있습니다.