1. 악성코드 상세 정보
- 기본 정보
|
악성코드 이름 |
00A944C7CED3FC762DD33466B7F39DE722B4402DA95E469E341E64F14F887D8E aimbotv2 16 aimbotv2 16.exe 00A944C7CED3FC762DD33466B7F39DE722B4402DA95E469E341E64F14F887D8E 8b60daf97e186ba728a946bb28b9f8c156d67876 |
|
MD5 |
ddc9bb8b41654b328458bb5ace012a70 |
|
SHA1 |
8b60daf97e186ba728a946bb28b9f8c156d67876 |
|
SHA256 |
00a944c7ced3fc762dd33466b7f39de722b4402da95e469e341e64f14f887d8e |
|
파일 크기 |
544.0 KB ( 557056 bytes ) |
|
파일 형식 |
Win32 EXE |
|
컴파일 된 시간 |
2012-08-13 18:08:43 |
|
패킹 여부 |
VM Protect 패킹 |
- Import API 기반 행위 추측
다음은 import API 리스트 중 악성 행위에 사용될 수 있는 API의 목록이다(PEStudio 도구 기준 Blacklist). 다음 목록을 통해 안티디버깅, 파일 관련 행위, 환경변수 수정, 커맨드 라인 실행, 프로세스 관련 행위, Dll 관련 행위 등을 할 수 있음을 알 수 있다.
IsDebuggerPresent,00124F34,x,-,x,-,-,kernel32.dllLoadLibraryA,000AE004,x,-,-,-,-,kernel32.dllLoadLibraryW,000AEE43,x,-,-,-,-,kernel32.dllLoadResource,000A62C4,x,-,-,-,-,kernel32.dllOpenThread,000AE405,x,-,-,-,-,kernel32.dllQueryPerformanceCounter,000AF5D1,x,-,-,-,-,kernel32.dllRaiseException,000B07E3,x,-,-,-,-,kernel32.dllResumeThread,00124CEE,x,-,-,-,-,kernel32.dllSetLastError,000B122C,x,-,-,-,-,kernel32.dllSetUnhandledExceptionFilter,000B19C7,x,-,-,-,-,kernel32.dllSleep,000AD5E5,x,-,-,-,-,kernel32.dllSuspendThread,000A6B5C,x,-,-,-,-,kernel32.dllTerminateProcess,000ACB41,x,-,-,-,-,kernel32.dllThread32First,00127200,x,-,-,-,-,kernel32.dllThread32Next,000A6BDC,x,-,-,-,-,kernel32.dllTlsGetValue,00126B85,x,-,-,-,-,kernel32.dllTlsSetValue,000B0D81,x,-,-,-,-,kernel32.dllUnhandledExceptionFilter,000AD3CE,x,-,-,-,-,kernel32.dll
VirtualAlloc,000ACCC8,x,-,-,-,-,kernel32.dllVirtualFree,000AFAF3,x,-,-,-,-,kernel32.dllVirtualProtect,00126269,x,-,-,-,-,kernel32.dllVirtualQuery,000A6BFE,x,-,-,-,-,kernel32.dllWriteFile,000AF107,x,-,-,-,-,kernel32.dllCompareFileTime,000AD0D2,x,-,-,-,-,kernel32.dllCreateEventW,000ADECC,x,-,-,-,-,kernel32.dllCreateToolhelp32Snapshot,000ADB42,x,-,-,-,-,kernel32.dllDllFunctionCall,000AD165,x,-,-,-,-,msvbvm60.dllEnumResourceLanguagesA,000AF057,x,-,-,-,-,kernel32.dllEnumResourceLanguagesW,001246E2,x,-,-,-,-,kernel32.dllEnumResourceNamesA,000A6241,x,-,-,-,-,kernel32.dllEnumResourceNamesW,000A6685,x,-,-,-,-,kernel32.dllEnumResourceTypesA,000ACB13,x,-,-,-,-,kernel32.dllEnumResourceTypesW,000B08ED,x,-,-,-,-,kernel32.dllExitProcess,000AD5FD,x,-,-,-,-,kernel32.dllFindResourceExA,000AC7B3,x,-,-,-,-,kernel32.dllFindResourceExW,000B0578,x,-,-,-,-,kernel32.dllFreeEnvironmentStringsA,00127210,x,-,-,-,-,kernel32.dllFreeEnvironmentStringsW,00126862,x,-,-,-,-,kernel32.dllFreeLibrary,000B1A0F,x,-,-,-,-,kernel32.dllGetCommandLineA,000B0560,x,-,-,-,-,kernel32.dllGetCurrentProcess,000AF48E,x,-,-,-,-,kernel32.dllGetCurrentProcessId,000B04DC,x,-,-,-,-,kernel32.dllGetCurrentThreadId,00126AD3,x,-,-,-,-,kernel32.dllGetEnvironmentStrings,00127472,x,-,-,-,-,kernel32.dllGetEnvironmentStringsW,000A6432,x,-,-,-,-,kernel32.dllGetFileType,000ADB07,x,-,-,-,-,kernel32.dllGetModuleFileNameA,00124F48,x,-,-,-,-,kernel32.dllGetModuleFileNameW,000AC7CA,x,-,-,-,-,kernel32.dllGetModuleHandleA,000AE7E0,x,-,-,-,-,kernel32.dllGetModuleHandleW,000AFFA9,x,-,-,-,-,kernel32.dllGetOEMCP,000B0F46,x,-,-,-,-,kernel32.dllGetProcAddress,00127BAF,x,-,-,-,-,kernel32.dllGetStartupInfoA,000A6BB0,x,-,-,-,-,kernel32.dllGetSystemInfo,0012466E,x,-,-,-,-,kernel32.dllGetThreadLocale,00127012,x,-,-,-,-,kernel32.dllGetTickCount,00127271,x,-,x,-,-,kernel32.dllHeapCreate,000AD72C,x,-,-,-,-,kernel32.dllWriteProcessMemory,000AD28F,x,-,-,-,-,kernel32.dll
2. 실행 과정 및 증상
‘Counter strike'라는 게임 핵인 'aimbotv2 16'으로 위장하여 사용자의 다운로드와 실행을 유도하고, 실행하면 다음과 같이 실제 게임핵과 유사한 인터페이스를 보여준다.
하지만 인터페이스 창과 함께 업데이트를 요구하는 메세지가 뜨고, 확인 버튼을 누르면 아래와 같이 웹페이지가 열리면서 aimbot.dll 을 생성하며 GUI는 사라진다. 웹페이지는 지금은 폐쇄된 상태이다.
실행 이후 Google Chrome을 키면 다음과 같이 페이지마다 광고가 붙어 있는 것을 확인할 수 있다.
Internet Explorer의 경우 시작 페이지가 변경되며, Chrome 에서와 동일한 광고가 생긴다.
3. 동적 분석
- 프로세스 분석
악성코드 프로세스를 확인 해보면, 처음 실행 시에는 하위 프로세스가 생성되지 않지만, 2회째 부터 하위에 ads4.exe라는 자식 프로세스가 생긴다.
해당 exe 파일은 C:\Windows 경로에 생성되어 있음을 알 수 있다.
C:\Windows 경로를 확인해보면, ads4.exe 뿐만아니라, ads, ads2, ads3.exe 가 악성코드 실행시점에 같이 생성된 것을 확인할 수 있다.
아이콘으로 추측할 수 있듯이 Visual Basic으로 컴파일 되어있으며 디컴파일하여 행위를 알 수 있다.
ads4.exe에서는 C:\ 에 접근하여 다른 쉘 커맨드를 실행 하는 부분을 찾을 수 있고,
나머지 exe 파일에서는 'http://adf.ly' 로 연결하는 코드를 찾을 수 있다.
- 레지스트리 정보
해당 악성코드가 레지스트리를 조작하여 Google Chrom, Internet Explorer 의 시작 화면 등을 변경한 것을 확인할 수 있다.
1) 추가 된 Key
HKLM\SOFTWARE\Google\Chrome
HKLM\SOFTWARE\Google\Chrome\Extensions
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS
2) 삭제 된 Value
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Google\Chrome\BrowserExitCodes\8016-13153812054251055: 0x00000000
3) 추가 된 Value
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASAPI32\FileDirectory: "%windir%\tracing"
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\ads2_RASMANCS\FileDirectory: "%windir%\tracing"
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASAPI32\FileDirectory: "%windir%\tracing"
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\ads4_RASMANCS\FileDirectory: "%windir%\tracing"
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\FileDirectory: "%windir%\tracing"
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\RASMANCS\FileDirectory: "%windir%\tracing"
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Google\Chrome\BrowserExitCodes\4104-13153819654404346: 0x00000000
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\P:\Hfref\yfu\Qbphzragf\00N944P7PRQ3SP762QQ33466O7S39QR722O4402QN95R469R341R64S14S887Q8R.rkr: 00 00 00 00 01 00 00 00 00 00 00 00 7C 05 00 00 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF FF FF FF FF 90 19 02 F2 4A 51 D3 01 00 00 00 00
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Windows\CurrentVersion\Run\ads: "C:\Windows\ads4.exe"
4) 수정 된 value
HKLM\SOFTWARE\Google\Update\ClientStateMedium\{8A69D345-D564-463C-AFF1-A69D9E530F96}\LastWasDefault\S-1-5-21-4199216677-3184964363-2501629242-1000: E2 26 04 87 52 BB 2E 00
HKLM\SOFTWARE\Google\Update\ClientStateMedium\{8A69D345-D564-463C-AFF1-A69D9E530F96}\LastWasDefault\S-1-5-21-4199216677-3184964363-2501629242-1000: 34 08 5C 4C 54 BB 2E 00
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name: "ads4.exe"
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID: 0x58D5DF4A
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID: 0x502367E2
... ...
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Internet Explorer\Main\Search Page: "http://go.microsoft.com/fwlink/?LinkId=54896"
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Internet Explorer\Main\Search Page: "http://danthanh.net/"
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Internet Explorer\Main\Start Page: "http://go.microsoft.com/fwlink/?LinkId=69157"
HKU\S-1-5-21-4199216677-3184964363-2501629242-1000\Software\Microsoft\Internet Explorer\Main\Start Page: "http://danthanh.net/"
- 패킷 분석
다음은 악성코드가 실행되는 동안 수집 된 패킷을 이용하여 분석한 정보이다.
Wireshark - Conversations를 이용하여 악성코드가 실행되는 동안 가장 많이 패킷을 주고 받은 ip는 216.58.200.3, 216.58.200.14, 216.58.200.13 등 이다.
가장 많이 통신한 216.58.200.3과의 패킷을 분석해보면, 'http://ww5.danthanh.net/’ 과 ‘www3.danthanh.net' 에서 광고에 사용되는 gif를 가져 오려고하며, TLS 프로토콜로 무언가 데이터를 전송하는 것을 알 수 있다.
http로 주고 받은 object만 추출해보면, 대부분 광고에 사용된 이미지나 text에 관련 된 것임을 알 수 있다.
게임핵 위장 악성코드 분석.pdf'기술 문서 > 악성코드분석' 카테고리의 다른 글
| Themida API 분석 방지 기법 (0) | 2017.06.28 |
|---|---|
| ret-sync 설치 및 windbg - IDA 연동 방법 (0) | 2017.03.31 |
