window xp 를 vmware pro 에 설치를 하고

 

(오랜만에 보는 xp다)

 

 

 

sandsprite.com/iDef/SysAnalyzer/

 

http://sandsprite.com/iDef/SysAnalyzer/

 

sandsprite.com

 

이곳에서 먼저 sysanalyzer를 다운받습니다.

 

 

 

 

www.hex-rays.com/products/ida/support/download_freeware/

 

IDA Freeware Download Page – Hex Rays

The freeware version of IDA v7.0 comes with the following limitations: no commercial use is allowed lacks all features introduced in IDA > v7.0 lacks support for many processors, file formats, etc… comes without technical support SHA1 checksums: 85b6db8d

www.hex-rays.com

그리고 여기서 ida window 버전을다운받고

 

 

 

 

 

wireshark 도 설치를합니다.

 

 

 

 

 

 

window xp에 넣어봅니다.

 

 

 

sysAnalyzer에서 executable을 눌러서  악성코드를 등록을해줍니다.

 

 

 

 

sysanalyzer 를 시작하기전에

 

wireshark를 키고나서

 

 

그리고 sniff_hit을 켭니다.

 

 

 

악성코드 분석 1

 

pestudio

 

 

 

 

 

 

sysanalyzer

- Run as ... 제외하고 모두 체크

 

- start 하기 전에 반드시 스냅샷, start후에는 종료시 까지 조작 금지

 

sysanalyzer를 실행하고 sniff_hit 을 실행합니다 여기에 악성코드를 지정해주고

시작을하니까 이러한게 떳고

 

 

 

 

 

 

malservice 를 등록했고

 

작업관리자에 등록이 되 있었습니다.

 

 

 

 

 

 

실행된상태에서

 

dumpit으로 덤프를 뜨고

 

메모리 포렌식기법으로 진행을 합니다.

 

 

 

 

 

 

 

 

 알고보니까 

 

http cashe control attack 의 공격이였다

nocashe를 설정합니다.

 

악성바이러스를 실행시킨뒤에

그뒤에 덤프를 뜹니다. 

 

raw파일이 생성되면 window10 으로 가져와서

 

 

 

vol.exe로 진행을합니다.

 

 

 

 

vol.exe -f tak.raw pstree

 

 

vol.exe 로 procdump를 진행을 하게되면

vol.exe -f tak.raw procdump -p 944 --dump-dir=./

 

 

메모리에 남아있는 malware1.exe의 pid로 procump

해서 virustotal 사이트에 넣어보게 되니까 바이러스 라는 것도 알게되었습니다.

 

 

 

 

vol.exe -f tak.raw iehistory

뭐 딱히업고

 

 

vol.exe -f tak.raw connscan

 

 

 

sniffhit

- get 요청이 많으므로 해당 악성코드는 dos(HTTP cache control) 공격 도구이다.

 

 

 

 

첫번째는 그냥

 

http cashe control attack을 하는 악성 바이러스였고

 

xp에서 침해당한 것을 가정하고

 

메모리포렌식을 해서 분석도 해봤습니다.

 

 

 

===============================================

 

 

두번쨰 시작 첫번쨰의 동일 바이러스 파일

 

ida 로 서비스에등록(malservice) 

 get요청 생성을 확인해봅니다

 

 

 

 

 

 

IDA

- main : Malservice 주석, servicectrldispatcher 수행 후 401040 호출

- 401040 : openmutex(중복실행 방지)

 

 

malservice라응 이름을정의를하고

 

call이 실행이라는 뜻입니다.

create---(각종 서비스 등록-제어판-관리도구-서비스-malservice 등록 확인)

 

 

 

address -> 401126을 검색하게되면

- 401126 : StartAddress 클릭하면 특정 웹사이트에 질의를 무한반복(jmp)하고 있음

 

 

 

 

 

 

프로세스를 실행하면 저url을 불러오는함수가 뜨고

 

http://www.malware~~~이것을 무한대로 호출을 합니다

 

 

 

 

저작자표시 비영리 변경금지

'악성코드 및 포렌식' 카테고리의 다른 글

악성코드 분석 3 - packing  (0) 2021.02.03
악성코드 분석 2 - 통신 포트를 찾는 과정  (0) 2021.02.03
악성코드 분석 시작  (0) 2021.02.02
네트워크 포렌식 CTF 3, 5  (0) 2021.02.02
네트워크 포렌식 CTF 1  (0) 2021.02.02

티스토리툴바