악성코드 샘플 분석

기초분석 - Virustotal

바이러스토탈에서 기초분석을 하였습니다. 분석결과 67개의 백신에서 악성코드로 판단했습니다

주로 백신들이 백두어 트로잔이라는 악성코드로 진단을 하였습니다

그리고 윈도우환경을 exe 실행파일임을 확인했고 svk-protector / upx로 패킹이 되어있었습니다

그리고 wisemansupprot라는 사이트에 접촉을 시도하고 있음을 확인했습니다

 

정적분석 - Exeinfo PE

해당 파일이 upx로 패킹 되어있음을 다시 확인했습니다. 그리고 unpacking하여 unpacked라는 파일을 생성하였습니다.

unpacking된  파일을 다시 정적분석한결과, unpacking된 상태를 확인,  c++ 코드로 이루어 졌음을 확인했습니다

정적분석 – Bintext, PEVIEW

bintext
특정 ip 주소와 연결됨
virustotal에서 확인한 wiseman이라는 사이트의 흔적도 확인
rundll32.exe 파일을 실행하도록 하는 것을 예측

peview
DOS에서 exe 실행파일에서 사용되는 파일형식인 MZ 시그니처를 확인
“This program cannot be run in DOS mode”라는 것을 보아 이 프로그램은 DOS 에서 실행할 수 없고 Window 환경에서 실행해야함을 확인
 Time date stamp를 통해 2015년 10월 9일에 파일이 생성되었다는 것을 확인
그리고 빈텍스트에서 확인했던 dll 파일들도 다시 한번 확인

 

동적분석 –Autoruns

 

악성코드를 실행한후 wiseman이라는 실행파일이 생성
auturon 확인결과 pc가 재부팅될때 자동으로 실행되게 해주는 레지스트리에 wiseman이 포함됨

 

동적분석 – Process Monitor

 

악성코드를 실행 후 프로세스 모니터를 통해서 실시간 변화를 관찰
1번 악성코드 실행전입니다
2번 은 악성코드를 실행 후 conhost.exe가 실행되는 것을 관찰하였습니다
3번에서는 rundll32가 실행되었는데 정적분석의 빈테스트에서 발견되었던 이름입니다
4번에서는 rundll32가 2가지 실행파일을 실행합니다. 
먼저 wiseman이 실행되었는데 컴퓨터에 wiseman이 자동으로 생성된것을 발견했습니다
그리고 taskkill이 실행되었는데 이때 악성코드도 자동으로 삭제하면서 악성코드가 은닉되는 것을 발견했습니다

 

동적분석 – Process Monitor

그리고 마지막에 남은 wiseman을 더 자세히 추척했습니다
Tcp/ip메뉴에서 외부와 통신하는 것을 관찰했는데 tcp통신을 주기적으로 시도하는 것을 발견했습니다
107.163.241.198이라는 의심되는 ip주소를 확인했습니다
Tcp통신의 상태가 sent상태에서 다음 단계로 넘어 가지 않았는데 통신을 시도하지만 응답을 받지 못하는 상황으로 예측했습니다
여기서 의심되는 ip주소를 다른 네트워크 분석툴에서도 확인해보았습니다.

 

네트워크 분석 – CurrPorts, SmartSniff, Wireshark

 

curports와 wireshake에서는 의심되는 ip를 발견했습니다

모두 신호를 보내지만 응답을 받지 못하는 모습을 보였습니다

Smartsniff는 의심되는 tcp통신을 발견하지 못했지만 wiseman과 통신하려는 흔적을 발견했습니다

 

 

해당 악성코드는 실행되면 사용자 몰래 레스스트리를 변경하여 특정 프로그램이 작동되고 스스로를 삭제합니다.
트로이목마와 같이 개인pc를 무단으로 사용할 수 있게 통신연결을 하는 백도어 형태를 하고 있습니다.

 

현재 해당 악성코드의 네트워크 활동이 비활성되어 있으나, 추후 다시 네트워크 활동을 할 수 있습니다.