c로 컴파일된 악성 코드 2 - 기초 동적 분석

 

sysanalyzer 사용

 

 

 

 

 

 

netstat -ano

 

만약 이 포트번호 1337이 열려있다면 현재 이백도어가 작동중인 것이기 때문에 pskill을 해야한다.

 

 

 

pskill -t 508 을 하면  508의 pid가 죽는다.

 

 

 

 

 

 

소켓 관련된 라이브러리

 

 

엔터를 넣어야지만 동장되고 cmd가 시작될떄시작된다.

 

cmd 에 어떤 명령어를 쳤을때 그 데이터를 받고 그데이터를 보낸다고 생각하면 된다.

 

계속해서 무한루프를 하게된것이고 소켓을 만약 닫지못하게되면 닫는것이다.

실제로 이렇게 백도어를 실행했을때 이런 문구가 사용이가능하다.

 

 

 

=========================================

 

sysanalyzer 사용

 

 

 

 

sysanalyzer를 실행했더니

 

 

 

 

 

 

cmd 창과 simplebackdoor가 실행하고있다

 

 

cmd 의 부모 pid 가 808 이고

simplebackdoor의 pid가 808이므로

 

simplebackdoor가 cmd 를 실행시켰다 라고생각하면됩니다.

 

 

 

1337 포트를 만든것도 확인할수있었고

 

python밑에는 클라이언트의 것이라 상관이없다

 

 

 

그리고 레지스트리도 만들기도하고 쓰레드를 만들기도 하고있습니다 

 

 

레지스트리를 만든것은 simplebackdoor 프로그램이 이런식으로 만든것이아니라

프로그램이 동작하기위해서 윈도우가 만들었다고생각하면될거같다

 

 

또한

CreateMutexA를 하고있다.

 

 

 

socket -> bind -> listen이 진행된다.

 

소켓프로그래밍

 

accept 가 수락을하는 즉 클라이언트로부터 요청이들어오면 수락입니다.

클라이언트와 통신이 시작되는 지점  

 

수락을하고난뒤 쓰레드를 만들고있습니다.

 

 

send 로 데이터를 보내고 그런것도 알수있었습니다.

 

 

 

 

directory Watch Data 는 디렉토리가 변경됬을때 변경 사항을 알려주는 것인데

내용이딱히없고

 

 

 

두개의 pip 와 소켓도 하나 생성한 것을 알 수있다.