2012년 8월 28일 화요일

악성코드 분석 - Bundestrojaner [4]




트로이 목마 악성코드를 분석한 과정과 결과를 정리하려고 합니다.








winsys32.sys 파일을 생성하는 함수를 빠져 나오면



 LoadLibrary 함수를 통해 advapi32.dll를 로드하며



CreateService 함수의 주소를 획득하는 명령어가 나타납니다.

CreateService 함수는 advapi32.dll에 포함되어 있으며,




이 함수를 통해 winsys32.sys라는 서비스를 생성합니다.



이 함수를 빠져 나오면 winsys32.sys의 Filetime을 mfc422.dll의 FileTime으로 변경합니다.

이것 또한 분석가를 혼란스럽게 만들기 위한 작업니다.



이후 Skype, SkypePM 등의 파일을 실행하며 스카이프와 관련된 작업을 하는것 처럼 보입니다만

정확한 분석은 하지 못했습니다.


skype 문자들을 넘기고 나면 403FE5에서 4017C0으로 이동해



시스템의 Temp 디렉토리에 접근하고, ~acrd~tmp.exe 라는 새로운 파일을 만듭니다.

이 파일이 어떠한 작업을 하는지 알 수 없지만 나중에 다시 분석해 볼 생각입니다.



마지막으로 기존의 악성코드 파일은 MoveFileExW 함수를 통해 자기자신을 삭제됩니다.



그 후 ExitProcess 함수 호출로 프로세스를 종료하게 됩니다.




Bundestrojaner이 정확하게 어떤 활동을 하는지는 분석하지 않았지만

Dropper인 secuinist.exe가 어떤 함수를 통해 어떤 파일을 만들며

악성코드 제작자가 분석을 어렿게 하기 위해 몇가지 트릭을 설치해 놓은것까지 확인할 수 있었습니다.
다음번엔 Bundestrojaner가 어떻게 타겟의 정보를 획득하고

서버로 전송하는지에 대한 분석을 진행하도록 하겠습니다.


참고 : http://resources.infosecinstitute.com/german-trojan/


댓글 없음:

댓글 쓰기