악성코드 분석 6 - 3.20 hastati 악성코드

악성코드 분석 6 - 320

 

우리가 봤던 유형이랑은 조금 다릅니다.

 

 

 

 

 

▲ PEStudio

- PhysicalDrive%d : 물리 드라이버를 0-9번까지 연다 - MBR/VBR 파괴

%d는 임의의 숫자를 넣는것입니다.

 

 

- taskkill = 안랩, 하우리 백신 무력화

 

pestudio는 실행파일 동적 분석프로그램

pasvc.exe는 v3를 죽이는것

 

 

 

 

▲ Sysanalyzer

- delay : 100

딜레이를 100으로 해서 sysanalyzer로 실행을 해봤을때

 

 

 

 

 

 

프로세스가 열려있고

 

 

 

포트가 하나 열려있습니다.

 

 

 

뭐이런게있고 다른거는 별로없습니다 이제

 

 

dump it으로 메모리 덤프를 떠서 진행해보려고했는데

갑자기 컴퓨터가 지혼자 꺼지게됩니다.

 

.

 

 

 

컴퓨터가 꺼졌다.

 

 

그리고 갑자기

 

하드디스크가 파괴가 된느낌으로 진행이된거같습니다.

 

 

ida로 확인해보니까 taskkill이 있었는데 갑자기

조금뒤에 바로 이 taskkill 이것이 사라지게됩니다.

 

이것은 왜그러냐면 

 

teminateProcess 로 가서

확인을 해보니까 코드가 난독화 되있는데 사라지는것처럼 보이는것입니다.

 

이것은 백신 강제종료 명령어입니다.

 

 

 

 

잘보시면 아예 없어지게됩니다. 단어에

 

 

구글에 쳐보니까

 

hastati 악성코드라고 존재했습니다.

 

 

 

 

 

찾아보니까 taskkill도 존재했고

 

 

 

 

 

 

현재 c드라이브로 부팅을 합니다.

 

 

파일이 저장된 물리적인 주소가 파일 인덱스 이고

주소를 보고 찾아가는 것 입니다.

 

MFT가 마스터파일테이블이라고합니다.

 

 

C와 D의 차이는 부팅이 안되는 차이다

C드라이브는 부팅이되는 MBR이 따로 있습니다 (마스터부트 레코드)

 

 

악성코드가 MBR을 파괴하게되면 부팅이 되지않습니다.

악성코드 감염되도 다시 부팅이 가능합니다.

 

 

 

 

HXD를 관리자 권한으로 실행을 해봅니다.

 

 

 

 

 

HXD로 확인을하니까

 

 

 

 

이런게 다있으니까 감염이되서 파괴가 되도 다시 복구를 할수가 있는데

 

 

HASTAI 악성코드는

저 문자들을 전부 HASTATI로 덮어 씌워 버려서

MBR이 파괴되도 이게 복구가되지 않는 것입니다.

 

 

 

 

 

 

 

 

섹터0번이 MBR입니다. 윈도우가 설치된 곳을 찾아가는 것이고

 

예를 들면 이렇게 전부 HASTATI로 바꾼다고 생각하면 됩니다.

 

그래서 시스템 복구가 되지 않는 것입니다.

 

 

 

 

 

 

▲ 010 editor

- open drive : MBR이 HASTATI로 모두 변조