[Practical Malware Analysis] Lab01-04.exe 분석

01. 분석환경

1.1 분석 환경

Windows10

WindowsXP

1.2 분석 도구

PEView
Resource Hacker
PEiD
Exeinfo PE
strings
IDA Pro
OllyDbg
depends
SysAnalyzer
Wireshark

1.3 분석 샘플

Practical Malware Analysis Labs - Lab01-04.exe

 

02. 정적 분석

2.1 PE 구조 확인

SECTION .rsrc 영역에 PE 파일 형식이 삽입되어 있는 것을 확인할 수 있습니다. Resource Hacker를 사용해서 해당 파일을 추출하고 Lab01-04_inserted.exe로 저장합니다.

 

2.2 패킹 여부 확인

Lab01-04.exe - Exeinfo PE , Lab01-04_inserted.exe - Exeinfo PE

Lab01-04.exe, Lab01-04_inserted.exe 파일 모두 Entry Point과 File Offset이 동일하고 컴파일 정보를 그대로 볼 수 있는 것을 통해 패킹이 안된 것을 확인할 수 있습니다.

 

2.3 strings 확인

Lab01-04.exe strings

- winlogon.exe → 사용 목적이 불분명함

- BIN → resource type
- #101 → resource name 
- \system32\wupdmgr.exe → 기존 window 프로그램, 악성 코드 저장 위치

- \winup.exe → 기존 \system32\wupdmgr.exe 프로그램 저장 위치

\\system32\\wupdmgr.exe 이란?
Microsoft Windows는 운영 체제에서 컴퓨터의 하드웨어와 소프트웨어 간의 브리지 역할을 하는 소프트웨어입니다. Wupdmgr.exe는 Windows Update Manager를 실행하는 역할을 합니다. Windows Update Manager는 운영 체제의 업데이트를 정기적으로 확인하고 다운로드하여 설치하는 응용 프로그램입니다.

 

2.4 IAT

• Lab01-04.exe

kernel32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	• GetWindowsDirectoryA • GetTempPathA	시스템 경로 및 디렉터리 관련 함수 : Windows 디렉터리 경로와 임시 파일 경로를 가져옵니다.
	• CreateFileA • WriteFile • MoveFileA • CloseHandle	파일 처리 관련 함수 : 파일에 데이터를 쓰거나 파일을 이동합니다.
	• GetCurrentProcess • OpenProcess • WinExec • CreateRemoteThread	프로세스 처리 관련 함수 : 현재 또는 특정 프로세스의 핸들을 가져오거나 새로운 프로세스를 시작합니다. 또, 다른 프로세스의 가상 주소 공간에 쓰레드를 생성합니다.
	• FindResourceA • LoadResource • SizeofResource • GetModuleHandleA • LoadLibraryA • GetProcAddress	메모리 및 리소스 관련 함수 : 지정된 모듈에서 리소스를 찾거나 지정된 리소스를 메모리에 로드합니다. 특정 DLL을 메모리에 로드하고, 함수의 주소를 얻습니다.
advapi32.dll		사용자 및 그룹 관리, 레지스트리 액세스, 보안 및 권한 관리, 서비스 제어, 암호화 기능 등을 하는 라이브러리
	• OpenProcessToken • AdjustTokenPrivileges • LookupPrivilegeValue	권한 및 토큰 처리 관련 함수 : 특정 프로세스의 엑시스 토큰을 열어 토큰의 권한을 조정합니다. 또, 권한의 이름을 LUID(Locally Unique Identifier)로 변환합니다.
msvcrt.dll		Windows 운영 체제에서 C와 C++로 개발된 프로그램이 실행될 때 필요한 기본적인 함수들을 제공하는 라이브러리
	• __setusermatherr • __p __commode	• 사용자 정의 수학 에러 핸들러를 설정하는 함수. • 기본 파일 I/O 모드를 설정하는 함수.

 

• Lab01-04_inserted.exe

kernel32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	WinExec GetTempPathA GetWindowsDirectoryA	시스템 경로 및 디렉터리 관련 함수 : Windows 디렉터리 경로와 임시 파일 경로를 가져옵니다. 또, 파일을 실행합니다.
urlmon.dll
	URLDownloadToFileA	파일 다운로드 : 인터넷에서 비트를 다운로드하여 파일로 저장합니다.
msvcrt.dll		Windows 운영 체제에서 C와 C++로 개발된 프로그램이 실행될 때 필요한 기본적인 함수들을 제공하는 라이브러리
	• __setusermatherr • __p__commode	• 사용자 정의 수학 에러 핸들러를 설정하는 함수. • 기본 파일 I/O 모드를 설정하는 함수.

 

2.5 Lab01-04.exe 동작 과정 분석

코드를 보면, OpenProcessToken 함수를 사용하여, 현재 프로세스의 액세스 토큰을 TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES 플래그로 오픈하고 있습니다. 이는 액세스 토큰을 쿼리하고 해당 토큰의 권한을 조정하기 위해 필요합니다.

다음으로, LookupPrivilegeValue 함수는 특정 권한의 LUID(Local Unique Identifier)를 확인하는 데 사용됩니다. 이 값은 시스템에서 특정 권한을 식별하는 고유한 값입니다.

 

LUID가 성공적으로 확인된 후, AdjustTokenPrivileges 함수를 사용하여 해당 권한을 활성화하는 작업을 수행합니다. 이 과정은 프로세스가 시스템에서 더 높은 권한을 얻어 작업을 수행할 수 있도록 설정하기 위한 절차입니다.

 

 

기존의 {Windows dir}\system32\wupdmgr.exe 파일을 {Temp dir}\winup.exe로 이동시킵니다. 

 

 

• sub_4011FC

 

자신의 파일에서 PE 구조를 리소스로 할당한 후, 이를 {Windows dir}\system32\wupdmgr.exe  파일에 저장하고 실행합니다.

이때 저장된 wupdmgr.exe 파일과 이전에 추출한 Lab01-04_inserted.exe 파일을 비교해 보면, 해시 값이 동일하여 같은 파일임을 확인할 수 있습니다.

wupdmgr.exe - WinMD5Free, Lab01-04_inserted.exe - WinMD5Free

 

2.6 Lab01-04_inserted.exe 동작 분석

 

{Windows dir}\system32\wupdmgr.exe (Lab01-04_inserted.exe로 변환된 파일) 을 실행하면,  hxxp://www.practicalmalwareanalysis.com/updater.exe 파일을 다운로드 받아 실행합니다. 현재는 해당 사이트가 운영되지 않아 정확한 프로그램을 확인하기 어렵습니다.

 

03. 요약

Lab01-04.exe 드로퍼(dropper)로서 악성 파일을 시스템에 위치시키고 실행시키는 역할을 합니다. 이 프로그램이 실행되면 토큰 권한을 조정하여 시스템의 권한을 확보한 후, 기존의 {Windows dir}\system32\wupdmgr.exe 파일을 {Temp dir}\winup.exe 로 이동시킵니다. 그 후,  {Windows dir}\system32\wupdmgr.exe 위치에 Lab01-04.exe 내부에 삽입된 PE 파일을 저장하고 이를 실행시킵니다.

실행된 악성 파일은 hxxp://www.practicalmalwareanalysis.com/updater.exe에서 추가 프로그램을 다운로드 받아 실행하며, 이를 통해 추가적인 악성 행위를 수행할 것으로 추측됩니다. 

• 호스트 기반 시그니처 :
  #101
  \system32\wupdmgr.exe
  \winup.exe
• 네트워크 기반 시그니처 :
  hxxp://www.practicalmalwareanalysis.com/updater.exe
• Lab01-04.exe 해시값
  md5 : 625AC05FD47ADC3C63700C3B30DE79AB
• Lab01-04_inserted.exe 해시값
  md5 : 6A95C2F88E0C09A91D69FFB98BC6FCE8