악성코드 분석 7 - 소니 픽쳐스 악성코드

악성코드 분석 7 - SONY Pictures

 

 

▲ PEStudio

- Strings : C&C 서버 IP, DROP되는 파일, 파일 공유 관련 실행 명령어 확인

 

pestudio로 한번열어보니까 .exe들 여러개들이 저것을 건들이는 거라고 추측 할수있습니다

 

그리고 cmd ~~net share shared$를치는 것을 알수가있는데

 

네트워크 폴더 공유 명령어 였습니다.

 

systemroot 폴더를 공유해서 grant 가 권한 부여인데

everyone 모두에게 공유한다 라고 추측할수 잇습니다.

그리고 igfxtrayex.exe가 존재하는데

 

원래는 내장 그래픽 카드 드라이버라고 생각하면됩니다. 근데 

내장그래픽 드라이버라고 속이는 악성 코드일 수도 있다고 생각합니다.

그리고 comon32.exe는 원래는 common32.exe 인데 

이것을 검색하니까 소니픽쳐스 악성코드의 파일 들이란것도 알수가있습니다.

 

악성코드를 실행하면 생기는 파일이라고 추측 가능하고

taskhosts64.exe 도 소니픽처스 악성코드에 관련된 것을 알수있고

 

위에는 cnc서버라고 추측을 할 수도 있을거 같습니다.

 

▲ Sysanalyzer

- delay : 1200

 

악성코드 아니게 혼동을 주기위해서 오랜시간동안 실행되지 못하게 만들어놨기때문에

1200초를 설정합니다.

 

이쪽을 전부 탐지하고 있고 이쪽에서 하나쯤은 c앤c서버가 있을 거라고생각합니다.

 

 

 

해보니까 이렇게 나오게됬습니다.

 

이게뭐냐면 mbr이 다망가져서

부팅이 되지 않는 것입니다.

 

 

 

이제 ida로 한번봐보면

 

 

 

 

 

ida로 열어보니까

아까본 명령어 들이존재하고

 

c드라이브 -> system32

syswow64 폴더 두개를 원격으로 건드는 것을 알수있습니다.

 

애를 메모리에 admin폴더를 올리고

 

 

system32 64 를 정의해줍니다.

 

 

 

 

 

 

 

 

ip를 한번 검색해보면 ip들을 정의해놨었네요.

 

 

 

 

 

wmic는 윈도우 시스템 정보를알수있는 명령어고

/user는 세션중에 사용할 사용자 입니다.

 

process call은 뒤에 있는 프로그램을 실행을 합니다.

 

 

 

 

 

 

 

malware7.exe -i 이렇게 실행하면 저 분기점으로 실행이되고

 

 

create process를 합니다.

 

 

 

 

 

 

 

 

이쪽에서도 -k를 주면 이쪽 분기점이 실행된다고 이해하면됩니다.

 

 

잘보면 실제로 sysanalyzer로 실행한 것을 보니까 -i를 붙이는 것도 알수가있습니다

 

 

제일처음으로 -i부터 시작되고

 

내려가면 -k 시작되고

 

 

여기보면 StartServiceCtrlDispatherA 서비스를 등록을 하는 것을 알수 있엇습니다.

 

이쪽에 등록이되야되는데 아직은 등록이되지않은것입니다.

 

 

 

 

▲ Dropper(Malware7) 정적 분석

- Strings : system32/syswow64(공유폴더 추가), share delete(공유폴더 삭제)

- 실행 인자값에 따라 분기점이 결정 된다.(Malware7.exe -i/-k/-s)

※ xref chart를 사용해서 실행경로를 추적

-i / -k : winsschmgmt 설정(-k 옵션 설정) 및 실행(startservicedispatch)

-s(4017A0) : C&C 서버 IP 설정 => (401340) 공유폴더 설정 및 삭제

=> (401930) createfile(igfxtray.exe) 생성

createprocess로 실행

 

 

 

 

 

 

 

401340은 공유폴더를 정의하는 곳이고 끝나면 delete삭제

 

 

401930

 

 

 

 

여기서 파일을 만드는 것을 알 수가 잇습니다.

 

 

그래서 이후로 

 

 

==================================

 

 

 

 

 

 

 

pestrudio로 igfxtray.exe 이파일을 열어보니까  프로세스를 불러와

 

netstop 은 서비스 종료 명령어 이고

 

 

 

 

IDA ->

 

 

 

===========================

 

 

 

또 이것을 정지하는 이유는 서비스들을 등록하기위해서 저 서비스관리하는 서비스를 중지시킨것입니다

 MSExchangeIS

MSExchangeIS 는 서비스 목록을 관리하는 서비스입니다.

 

 

termsevice는 원격 관련된 서비스 입니다.

 

 

 

 

 

ida 로 열어보니까 이런서비스가 실행되는것을 알수있고

 

 

strings쪽을 보니까 파일시스템관련들이있었습니다.

 

 

 

 

exfat쪽을 가니까 이러한게 있었고

 

 

 

 

 

무슨 파일을 읽었다는 것을 알수가있습니다

MFT Record read failed. \n

 

 

 

 

악성코드가 어디서 나오는지 그래프를 한번보니까

이런 그림이 나왓습니다.

 

 

 

401430에서는 사용자 빈공간을 관련하는게 실행되는것 같고

 

 

 

 

 

401760으로 이동되니까 가보면

usbdrv3라는 서비스를 등록을 한다는 것을 알수가 있었습니다.

 

그리고 %s%s.sys라는 것은

 

s.sys 파일을 호출해서 c드라이브 d드라이브처럼 불러온다고 생각하면됩니다

불러온뒤에

 

새로운 파일로 덮어씌우는 느낌으로 보면됩니다.

 

 

 

 

다음

 

특정파일을 다찾은다음에 다음파일 삭제 다음파일삭제

이렇게 약간 증거가 안남게 삭제된다고 생각하면됩니다.

 

 

 

 

▲ Drop된 악성코드(igfxtray.exe) 정적 분석

- MBR을 파괴하고 파일을 삭제하는 역할 수행

- 실행 인자값에 따라 분기점이 결정

※ xref chart를 사용해서 실행경로를 추적

-i / -k : brmgmtsvc 설정(-k 옵션 설정) 및 실행(startservicedispatch)

4031E0 => 401270 : C&C IP 설정

=> 401270 => 401430 => 401760 : usbdrv3 서비스 등록(MBR write)

=> 401270 => StartAddress(Thread) => 4022D0 : FindFirstFile,

DeleteFile로

모든파일 삭제

 

 

이파일이 부팅이되지 않는 악성코드인데 이것은 실행되자마자 파괴하고

재부팅이되기 떄문에 분석하기에는 많은 어려움이 있어서 정적 분석을 합니다.