17주차 과제 - 악성코드 샘플 분석 2 (하)

서론

 이번 주에는 지난 시간에 진행했던 악성코드 샘플 분석 과정을 보완해보는 시간이 되겠습니다.

17주차 과제 -악성 코드 샘플 분석 2-(하).pptx

1.59MB

 과제 발표에 사용한 ppt 파일을 첨부하겠습니다. 현재 진행하고 있는 과제는 AI 스쿨의 리팩토링 보안직무 과정의 일부입니다. 만약 해당 과정에 더 관심이 있으시다면 AI스쿨의 공식 카페에 방문하여 더많은 정보를 확인해 주시기 바랍니다.

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

 

 

본론

 악성코드 샘플 분석 과제는 2주의 시간을 들여 진행하는 과정이었습니다. 이번 과제의 전략은 첫주에 최대한 악성코드 분석과정을 빠르게 마무리 하고, 중간 발표에서 피드백을 받아 모자란 부분을 보완하는 것이었습니다.

 지난 반표를 요약하자면 다음과 같습니다.

 자동화분석 결과 (바이러스 토탈)
 - 진단명에 Trojan, Downloader, backdoor 등이 다수 등장한다.
 - 가상환경을 탐지하고 3분의 유휴기간을 가진다.
 - wisemansupport이라는 이름의 url에 접근한다.

 정적 분석
 - 언패킹에 실패.

 동적 분석
 - 레지스트리 및 파일
 Wiseman.exe, Evtmgr 등이 사용자 몰래 설치되었고 시작 프로그램에 추가되었다.
 레지스트리와 시스템 파일의 광범위한 수정이 포착되었다.

 - 프로세스
 Wiseman.exe가 레지스트리와 파일에 대규모 수정을 가하는 활동을 포착했다.

 - 네트워크
 시스템 프로세스에서 네트워크 트레픽이 발생하였다. 악성코드가 시스템 프로세스로 위장하여 트래픽을 발생시키는 것으로 보인다.
 미확인 프로세스에 의한 네트워크 트레픽이 확인되었으나 세부 내역은 분석하지 못했다.

 자동화 분석에서 wisemansupport의 url을 이용하여 악성코드를 몰래 다운로드 받기 위한 백도어를 만드는 악성코드일 것이라 예측을 했습니다. 이에따라 정적 분석을 진행하려 하였으나, 정적 분석에서 언패킹에 실패하여 정상적으로 진행하지 못했습니다. 동적 분석에서는 레지스트리 및 파일, 프로세스 활동에서 wiseman.exe파일 및 프로세스를 추적하는데 성공했고, 악의적인 행동을 하는 것을 확인할 수 있었습니다. 하지만 네트워크 활동에서 wiseman.exe의 활동에 정확히 무엇인지 확인하지 못했습니다.

 따라서 지난 발표에서 미비한 점을 다음으로 잡았습니다.

 1. 언패킹에 실패하여 정적 분석을 시도조차 하지 못한점.

 2. 네트워크 분석에서 세부사항을 깊게 확인하지 못하고 피상적인 확인만을 한 점.

 이번 발표에서는 위의 두가지를 중점으로 분석을 진행할 것 입니다.

 

 정적 분석 재시도

 정적 분석에서 지난시간에 시도하지 못했던 방법을 강구했습니다. 이에 새로운 프로그램을 발견하여 활용하였습니다

 Detect it Easy는 기존에 사용하던 exeinfo와 용도가 같은 프로그램입니다. DIE로 패킹여부와 패킹 종류를 파악하고 RL!depacker와 GUNDEPACKER를 이용해 디페킹을 진행해 보겠습니다.

 

 하지만 패킹된 파일이 디패킹이 되지 않았기에 해당 분석을 종료합니다.

 

동적 분석 재시도

 동적 분석은 지난 시간에 미흡했던 네트워크 분야를 집중해서 재분석 해 보겠습니다. 

 와이어샤크를 이용한 분석에서 다음과 같은 결과를 얻을 수 있었습니다.

 의심가는 URL
api.wisemansupport.com
x1.c.lencr.org
s1.symcb.com

 그리고 해당 URL들의 IP 정보를 확인한 결과 다음과 같았습니다.

api.wiseman.com의 IP 주소 3.35.144.12
x1.c.lencr.org의 IP 주소 104.74.211.103
s1.symcb.com의 IP 주소 117.18.237.29

 와이어샤크로 해당 IP를 필터링하여 분석해 본 결과 다음과 같은 결과를 얻을 수 있었습니다.

api.wisemansupport.com의 경우
 URL에 접근하려는 시도는 있지만 지속적으로 RST를 보내는 것을 보아 정상적인 접근이 힘든 것으로 보인다.
 웹 브라우저 상에서 접속했을 때, 흰 화면으로 무한 로딩 현상이 일어난다.
x1.c.lencr.org의 경우
 파일 하나를 다운로드 한다. 하지만 해당 파일을 자동화 검사 해 본 결과 바이러스가 존재하지 않는다고 나타난다.
s1.symcb.com의 경우
 위의 x1.c.lencr.org과 동일한 현상이 일어난다.
 추가적으로 대상 아이피와 지속적으로 연결하여 정보를 주고받는 모습이 포착되었다.

 

결론

 이러한점을 모두 고려하여 결론을 내 보면 다음과 같은 결과를 추론할 수 있습니다.

 dgrep.exe는 악성코드를 다운로드 받기 위한 트로이 목마이다.
 실행시 자동 삭제되어 1차 추적이 늦어지게 만들며, wiseman.exe, Evtmgr이라는 이름의 파일을 설치하여 활동한다.
 레지스트리 수정, 시스템 파일 수정을 통해 SYSTEM 프로세스로 위장하는 능력이 있다.
 api.wisemansupport.com, x1.c.lencr.org, s1.symcb.com의 도메인을 통해 외부 악성코드를 다운로드 하는 기능을 가지고 있다.
 하지만 악성코드를 주요하게 다운로드 하리라 기대되던 api.wisemansupport.com 도메인이 현재 작동하지 않기에 시스템에 추가적인 피해는 없다.