[Practical Malware Analysis] Lab01-01.exe, Lab01-01.dll 분석

정적 분석

자동화 분석

• 분석 도구 : virustotal.com
• 분석 결과 :
  • Lab01-01.exe : 감지율 55/72, 알약, 안랩 등에서 백도어, Torjan 로 감지
  • Lab01-01.dll : 감지율 47/73, 알약, Google 등에서 백도어, Torjan로 감지

 

패킹 여부

• 분석 도구 : exeinfo
• 분석 결과 :
  Lab01-01.exe, Lab01-01.dll 모두 패킹되지 않은 것을 확인하였고, Microsoft Visual C-++ 로 컴파일 되었음을 추측할 수 있습니다.

Lab01-01.exe (PEiD), Lab01-01.dll (PEiD)

 

컴파일 시간

• 분석 도구 : PEiD
• 분석 결과 :
  Lab01-01.exe 는 2010/12/19 16:16:19 UTC 에 컴파일에, Lab01-01.dll 은 2010/12/19 16:16:38 UTC 에 컴파일 된 것으로 보아 Lab01-01.exe 컴파일 직후 Lab01-01.dll 을 컴파일 했음을 추측할 수 있습니다.

Lab01-01.exe (PEiD), Lab01-01.dll (PEiD)

 

IAT 확인

• Lab01-01.exe

kerner32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	CreateFileMappingA MapViewOfFile UnmapViewOfFile	파일 매핑을 확인합니다.
	FindFirstFileA FindNextFileA FindClose	파일들을 연속적으로 탐색합니다.
	CreateFileA CopyFileA CloseHandle	파일을 열고 복사합니다.
	IsBadReadPtr	메모리 읽기 권한을 확인합니다.
msvcrt.dll		비주얼 C++ 버전 4.2부터 6.0까지의 마이크로소프트 비주얼 C 런타임 라이브러리
	_XcptFilter __getmainargs __p___initenv __p__commode __p__fmode __set_app_type __setusermatherr _adjust_fdiv _controlfp _except_handler3 _exit _initterm _stricmp malloc exit	일반

 

• Lab01-01.dll

kernel32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	CloseHandle CreateMutexA CreateProcessA OpenjutexA Sleep
ws2_32.dll		Windows에서 제공하는 라이브러리로 Windows Socket을 사용하기 위한 함수들이 정의되어 있는 라이브러리
	closesocket connect htons inet_addr recv send shutdown socket WSAStartup WSACleanup	소켓을 열어 데이터를 전송하고 받습니다.
msvcrt.dll		비주얼 C++ 버전 4.2부터 6.0까지의 마이크로소프트 비주얼 C 런타임 라이브러리
	_adjust_fdiv _initterm free malloc strncmp	일반

 

 

string 확인

• 분석 도구 : strings.exe, OllyDBG
• 분석 결과 :

Lab01-01.exe strings, Lab01-01.dll strings

 

1. Lab01-01.exe는 Lab01-01.dll을 C:\windows\system32\kerne132.dll 경로에 저장하는 것으로 추측
2. Lab01-01.dll 은 127.26.152.13과 통신을 하기 위한 소켓을 생성, hello로 연결 확인 하는 것으로 추측

 

 

동작 추측

• 분석 도구 : OllyDBG, IDA
• 분석 결과 :

Lab01-01.exe

C:\windows\system32\Kernel32.dll 의 파일 매핑을 확인합니다.

 

Lab01-01.dll 파일을 C:\windows\system32\kerne132.dl에 복사한다.

 

 

Lab01-01.dll

“SADFHUHF”라는 이름으로 뮤텍스를 생성합니다.

 

Winsock DLL 사용을 시작하고 특정 전송을 위하여 socket을 생성합니다. socket 함수의 두번째 인자 type이 1인 것을 통해 TCP 연결을 한다는 것을 확인할 수 있습니다.

 

127.26.152.13으로 통신을 시작합니다.

 

hello를 보내고 서버에서 데이터를 최대 1000byte 까지 받아옵니다.

 

일정시간 기다린 후 실행합니다.

 

요약

위에서 열거한 모든 내용을 바탕으로, 실행 파일은 백도어 또는 트로이 목마 역할을 하는 DLL을 실행하는 데 사용된다고 추측됩니다. C:\windows\system32\kerne132.dll에 정상 DLL 파일 kernel32.dll을 위장하여 Lab01-01.dll을 저장하려는 것으로 추측됩니다. kerne132.dll 파일을 실행하면 127.26.152.13 서버에 연결할 가능성이 높습니다.