Amazon에서 보낸 걸로 가장한 Your invoice 메일 분석 (1)
2014년 1월 30일 네이버로 메일 한통 왔습니다
'Your Invoice xxxx@naver.com' 그리고 report.450205.zip 파일이 첨부되어 있습니다.
바로 악성코드라는 느낌이 왔습니다.
메일 헤더는 다음과 같습니다.
1월 31일(금) 설날 오후 60일 지난 아기 때문에 고향에 못 내려가고 집에서 뒹구르르하다가 어제 받은 악성코드나 한번 봐야지 생각했죠.
zip 파일을 풀면 report.exe 가 있습니다.
md5는 3b292522fd8e51eda5bca943db90a4c6
아차... 어제 출근 했을 때 집어 넣었어야 했는데...TT
회사 출근하는 분들에게 맡기고 집에서 한번 분석해 보기로 했습니다.
집에는 분석자동 시스템이 없으니 불편하지만...
디스어셈블러와 디버거로 할 수 있는 간단한 악성코드 분석 방법을 진행해 보겠습니다.
* 표본(육안) 검사
PE 파일이로 헥사 에디터로 보면 딱히 패킹 되었다는 느낌은 안 듭니다.
코드 영역인 0x00401000이 데이터 처럼 보입니다.
뭔가 압축되었거나 암호화 된 것으로 보이는 부분이 0x00413000에 보입니다.
* 실행 테스트
네트워크를 끊고 실행하면 방화벽 해제 요청이 뜹니다.
(제작자는 윈도우 방화벽도 신경 쓰지 않았다니.. 다소 놀랍네요.)
눈에 띄는 별다른 증상은 없네요.
이 부분은 추후 업데이트...
* 디스어셈블
IDA로 디스어셈블 해봅니다.
비교적 간단한 몇 개 함수만 보입니다.
(IDA에서 흰색은 제작자가 만든 함수이고 다른 색깔은 컴파일러가 만들거나 라이브러리 부분이라 색깔 있는 부분은 자세히 볼 필요 없습니다.)
WinMain으로 가봅니다.
(Hex-Rays가 설치되어 있으면 F5로 C로 변환 가능합니다.)
패킹이 되어 있지 않아 금방 악의적인 기능을 파악 할 수 있을거라 생각했지만....
흠.. 일반적 형태가 아니네요.
호출되는 함수를 이래저래 따라가 봅니다.
앗.. 메모리 할당(VirtualAlloc)이 보입니다.
여기까지 보면 뭔가 느낌이 옵니다.
이거.. 얘는 껍데기이고 실제는 메모리 할당 받은 곳에서 실행되겠구나
(실제 ollydbg로 따라가 보면 0x009A0000과 0x009C0000에서 필요한 코드 풀어 실행됩니다.)
좀 더 내려가면 (__stdcall *)가 보입니다.
메모리 할당을 받고 그쪽으로 점프 한다고 예상 할 수 있습니다.
사실 이제 더 이상 WinMain을 볼 필요가 없습니다.
실제 기능은 메모리 상에서 시작되기 때문에 결국 디버깅 해야 합니다.
* 디버깅
Ollydbg로 디버깅을 해봅니다.
패킹이나 난독화 되어 있지 않아 쉽게 따라 갈 수 있습니다.
문제는 제가 디버깅 하다가 분석 과정을 글로 남겨봐야지 해서....
초반부 화면 캡쳐를 못했네요.
실제 디버깅 과정은 다시 하면서 작성 해야 겠습니다. (이건 2부에서...)
2부 예고를 간단히 하자면...
패킹 된 영역을 0x009A0000에 풀고 0x00408205까지 오면 0x009A0000를 호출 합니다.
Ollydbg에서 Ctrl+M(Alt+M인가 ?)으로 Memory map을 보면 0x009A0000의 Type은 Priv이고 Access가 RWE 입니다.
RWE는 읽기/쓰기/실행으로 코드가 실행 될 수 있습니다.
0x009A0000은 로더 역할을 하는 4 KB 정도입니다.
실행되면 0x009C0000에 실제 악성코드가 로드 됩니다.
이런 유형의 악성코드는 분석가가 껍데기를 열심히 봐도 메모리 상에서 수행되는 코드를 보지 못하면 분석 할 수 없습니다.
2부에 계속....