첫 악성코드 분석 보고서
분석 대상:
- 2d6a657cad7add2d9911d306e96a47ac_QUOTATION_RFQ
분석 환경:
- host: Windows7 64bit, Vmware Workstation 12
- cuckoo sandbox
1) guest: winxp 32bit
2) guest: win7 32bit
정적 분석 결과------------------------------------------------------------------------------------------------------------
[그림] PEID
[그림] Detect It Easy
NeoLite Packer를 사용하여 패킹을 했음을 확인할 수 있었다.
파일은 win32 gui임을 확인할 수 있었다.
[그림] PEview
Time Date Stamp가 UTC 1992/06/19로 나온다. 이는 조작되었음을 추측할 수 있다.
[그림] virustotal 정보
virustotal에서는 이 파일이 트로이 목마 바이러스라고 알려준다.
트로이 목마 바이러스란 간단히 말해서 정상파일로 위장한 바이러스다.
cuckoo sandbox를 이용한 분석 결과------------------------------------------------------------------------------------
[그림]cuckoo 분석결과
쿠쿠에서도 바이러스 토탈과 마찬가지로 이 프로그램이 트로이 목마라고 알려준다.
[그림] compile time
PE View로 본 것과 마찬가지로 컴파일 타임이 조작되었음을 유추할 수 있다.
[그림] URLDownloadToFileA
GetSaveFileNameA를 통해서 어떠한 파일을 저장함을 확인할 수 있다.
URLDownloadToFileA를 통해 무언가를 다운 받음을 유추할 수 있다.
[그림 ] NtCreateFile
NtCreateFile은 윈도우 프로그래밍에서 쓰이는 함수이다.
msdn에는 다음과 같이 설명이 되어 있고, 구조체는 다음과 같다.
Creates a new file or directory, or opens an existing file, device, directory, or volume.
NTSTATUS NtCreateFile(
_Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _Out_ PIO_STATUS_BLOCK IoStatusBlock, _In_opt_ PLARGE_INTEGER AllocationSize, _In_ ULONG FileAttributes, _In_ ULONG ShareAccess, _In_ ULONG CreateDisposition, _In_ ULONG CreateOptions, _In_ PVOID EaBuffer, _In_ ULONG EaLength );
가상 환경에서 구동-------------------------------------------------------------------------------------------------------
[그림] process explorer
프로세스 익스플로러를 사용해서 직접 구동해 본 결과, 프로그램이 잠깐 나타났다가 사라짐을 확인 할 수 있었다.
[그림] 블루스크린 유발
호스트 컴퓨터를 재시작 하니, 블루스크린을 유발하였다.
Cuckoo 2.0으로 분석 결과------------------------------------------------------------------------------------------------
Static Analysis
[그림] static analysis
정적 분석 결과 PE Compile Time이 1992-06-20 07:22:17로 나왔다. 이는 Compile Time을 조작한 것으로 생각된다.
FileDescription을 살펴보니, VIA HD Audio App이라고 나온다. 오디오 앱으로 가장한 악성파일로 의심이 된다.
[그림] Imports
GetSaveFileNameA를 통하여 어떠한 파일을 저장할 것으로 추측이 된다.
URLDownloadToFileA를 통하여 어떠한 파일을 다운로드 할 것으로 추측이 된다.
Behavioral Analysis
[그림] Behavioral Analysis
[그림] QUOTATION_RFQ
위 그림에서 볼 수 있듯이 QUOTATION_REQ는 자식 프로세스를 만드는 활동을 한다.
Network Analysis
[그림] Network Analysis
HTTP를 사용해서 http://basuka.dp.ua/tai/fre.php와 통신을 시도하려는 것을 확인할 수 있었다.
[그림] Network Analysis
위 그림에서도 볼 수 있듯이, TCP를 사용하여 특정 사이트와 통신을 시도하려 하였다.
Summary
[그림] Score
Score는 이 프로그램이 얼마나 악성인지를 알려주는 것이다.
0.0으로 결과가 나온 것으로 보아서는 악성이 아님을 알려주고 있는데, 이 것은 사이트와 통신이 안되서 그런 것 같다.
[그림] site 및 dns
위 그림과 같이 다양한 사이트와 통신 함도 살펴 볼 수 있었다.
결론-----------------------------------------------------------------------------------------------------------------------
이 프로그램은 트로이 목마로 추정되는 오디오 파일이다. 이 프로그램을 실행하면, 자식 프로세스를 실행하여, 특정 사이트와 통신을 시도한다. 특정 사이트는 막혀있기 때문에 어떠한 사이트인지는 정확히 알 수 없지만, 일종의 백도어 역할을 함을 살펴볼 수 있다.
또한, 가상환경 상에서 실행하면 BSOD를 일으키는데, 이 프로그램이 메모리 누출을 야기하는 것 같다.
