'침해사고 & 악성코드'에 해당되는 글 7건

CryptAcquireContext

 - CSP (Cryptographic Service Provider) 핸들을 구하는 함수

CryptGenKey

 - RSA 공개키/개인키 핸들을 생성하는 함수

CryptImportKey

 - 외부에 출력되어 있는 RSA 공개키 or 개인키를 이용하여 핸들을 구하는 함수

CryptExportKey

 - RSA 공개키/개인키 핸들을 이용하여 외부로 키를 출력하는 함수

CryptEncrypt

 - RSA 공개키 핸들을 이용하여 대상을 암호화 하는 함수

악성 URL 내부에 포함된 악성 스크립트 난독화 해제 및

리다이렉트 분석 도움

malzilla_1.2.0.zip

다운로드 주소:

http://malzilla.sourceforge.net/downloads.html

브라우저 접속하였던 정보들을 보여줌

(단 쿠키 삭제를 하지 않았을 시 다 보여짐)

익스플로러 뿐만 아니라 크롬 , Edge 여러가지 브라우저 지원

browsinghistoryview.zip

(1) 서비스 설치 - SC 명령어

sc create abc binPath= "%systemroot%\system32\svchost.exe -k abc" type= "share" DisplayName= "abc"

abc 부분은 서비스 이름을 의미함.
니가 새로운 서비스를 설치할때 니가 임의로 이름을 정하면됨.

(2) 서비스 설치가 완료되면

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\abc

레지스터리 경로에 새로 추가된 서비스에 대한 정보를 볼수 있음.
처음 설치하면 서브 키로 DLL Services 니깐 해당 키와 DLL 경로를 추가해줘야함.

서브키 이름 : Parameters
[키 이름] ServiceDll  [데이터] - DLL 경로

[종류] 확장 가능한 문자열

(3) svchost가 해당 서비스를 자신이 실행해야 하는 서비스인지 추가해줘야함.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

이 경로가 svchost의 경로임 여기에 키를 추가해주면됨

[키 이름] - abc(서비스 이름)  [데이터] - abc(서비스 이름)

실행 명령어
net start 서비스이름

목차

• 개요

감염 경로

감염 증상

• 동적 분석

UnPacking

가상 환경 (Virtual Machine) 탐지 코드 패치 우회

Uboat Rat 악성 행위 분석

• 대응 방안

개요

UBoat Rat은 2017년 5월에 발견된 악성코드 이며, 악성 파일의 이름은 "2017년 연봉 인상 문의 사항 관련 피드백 조사.exe"라는 형태로 한국어를 사용하여 공격 대상을 한국으로 두어 배포 되어진걸로 보인다. 해당 악성 파일은 VMWare, VirtualBox 등 가상화 소프트웨어를 탐지하여 실행하지 않도록 하는 조건으로 제작 되었다.

[그림] https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/]

감염 경로

1. 공격자가 메일이나 웹사이트에 배포하여 상대방이 파일을 열람하도록 유도

2. 사용자가 실제론 EXE 실행 파일이지만 엑셀 모양의 아이콘으로 인식하여 아무런

   경계 없이 실행

3. 실행이 된 악성 파일은 재부팅 후에도 악성 파일이 작동을 할 수 있도록

   레지스트리 변조 및 원본 악성 파일 다른 폴더로 복사 후 숨김 명령 실행

4. 감염 된 컴퓨터는 지속적으로 실행 된 악성 파일에 의해 공격자 서버(C&C)랑 통신

   할 수 있도록 연결

*C&C : 외부에서 감염 된 컴퓨터로 통신 제어를 하기 위해 만들어둔 악성 서버

감염 증상

감염 증상은 컴퓨터 사용하기에는 아무런 이상 없이 사용이 가능하며, 악성 코드는  백그라운드(Background)에서 활동 한다. 그리고 C:\ProgramData\ 폴더에 .exe , ddd.bat 파일이 생성 되어 있으며, 프로세스 관리자 작업 창에는 특정 프로세스.exe가 종료 되었다 실행되었다 반복적으로 움직이는 행위가 보임

동적 분석

UnPacking

[분석 대상 악성 파일]

- 패킹 확인 결과 UPX 3.91로 패킹이 되어 있음

- UPX로 패킹 된 어셈블리어를 추적하여 OEP (Original Entry Point) 찾은 후 OEP

  구간에서 파일 DUMP

- 패킹이 해제 된 DUMP 파일을 실행 가능하도록 기존의 썼던 API들을 재정리

가상 환경 (Virtual Machine) 탐지 코드 패치 우회 

- UnPacking 된 파일을 가상환경(Virtual Machine)에서 실행하게 되면 

  메시지 박스가 나옴

[가상 환경 (Virtual Machine) 탐지 실행 중지]

- 해당 구간은 가상 환경 (Virtual Machine) 탐지를 하는 알고리즘 구간

[가상 환경 탐지 함수 내부]

- 가상 환경 (Virtual Machine) 탐지 CALL 부분 Code Bypass

Code Bypass 이 후 부터 가상 환경 (Virutal Machine) 탐지를 못 하게 된다.

Uboat Rat 악성 행위 분석 

- GetModuleFileNameW 함수를 사용하여 현재 악성 파일 실행 경로를 불러온다.

- 실행 경로를 이용하여 악성 파일을 CopyFileW 함수를 사용한 후

   C:\Programdata\.exe 라는 이름으로 복사

- 원본 악성 코드 파일이 .exe로 이동하는 동시에 Programdata 폴더에 init.bat라는

  윈도우 스크립트 실행 파일 생성

- init.bat 생성 후 자동으로 실행하도록 설계

- init.bat 실행 후 init.bat 자가삭제 및 ddd.bat라는 파일 생성 ddd.bat 기능은 원본

  악성코드를 보이지 않게 숨김으로 변조 해주는 역할이다.

- 정상 엑셀 확장자인 .xlsx 파일을 생성하여 실행 후 의심하지 못 하게 .xlsx 파일로  

  실행 된 것처럼 보여주게 한다.

- 해당 악성 파일은 악성 코드가 지속적으로 실행 되도록 레지스트리를 변조한다.

- 그 후 CMD 창을 이용하여 .exe 파일을 실행, 종료를 반복 하며, 공격자 CnC 서버랑 네트워크 통신을 하게 된다.

대응 방안

- Yara Rule을 사용하여 해당 레지스트리를 변조하는 시그니처를 추가하여 탐지하거나 공격자의 CnC 서버 통신 IP를 추적하여 해당 IP 탐지

- 해당 파일은 문서 아이콘까지 이용하여 문서 파일이라는 인식을 주고 아무 경계없이 실행 하도록 유도 하는 악성 파일이다. 이러한 파일을 실행하지 않도록 예방하기 위해선 사용자가 확장자 명을 인식 하여야 하고, 확장자 명이 보이지 않는다면 밑에 옵션 설정을 바꾸어 주어야 한다.