닷넷으로 위장한 악성코드

malwares.com 코드분석팀 분석 자료

<부제 : 닷넷으로 위장한 악성코드 >

1. 개요

 

예전에 등장한 백도어로 보이는 파일이 최근에도 유입되고 있었다. 

수 많은 랜섬웨어가 등장하고 있지만,  최근에 파밍, 뱅킹, 백도어등 타 악성코드들이 모습을 보이고 있는 추세이다. 백도어로 추정되는 악성코드 분석을 통해 악성코드의 세부 동작과 악성코드 유포자의 의도가 무엇인지 알아보자. 

2. 분석 정보 

분석 대상 악성코드는 관리자 패스워드 탈취, 원격 명령 실행이 가능한 백도어의 기능을 한다.

C2 Server를 가지고 있으며, 파일 드랍의 기능을 가지고 있으나 현재는 동작하고 있지 않다. 다른 포함한 기능을 살펴보며 분석한다.

(1) 시작

< Figure1.  서비스 등록 >

해당 악성코드를 실행하게 되면, 처음 동작의 경우에는 서비스에 등록하게 되며, 2번째 실행부터는 서비스에 등록된 함수를 시작하게 된다. 위 사진으로 sub_40561A 가 실행될 것임을 알 수 있다.

(2) 관리자 패스워드 무차별대입

< Figure2. 계정 정보 리스트 >

< Figure3. 로그인 시도 >

준비해둔 ID와 PASSWORD로 WNetAddConnection2A함수를 통해 연결시도하여 BruteFoce 공격을 통해 연결이 되는지 확인하며 연결될 경우 해당 악성코드를 연결된 서버에 복사하고 at 명령어를 통해 2분뒤에 실행하도록 설정한다.

(3) 날짜 스위치

< Figure4.  날짜 확인 >

쓰레드가아닌 함수로 동작하는 코드들도 있지만 악성코드가 실행하는 3개의 쓰레드중 2개의 쓰레드에서 위 함수를 호출하는 것을 볼 수 있는데 2013년 2월 21일이 지나야 동작하는 코드임을 알 수 있다. 이 날짜 전에 배포되어 동작하는데 잠복기를 거쳤다는 것을 추측할 수 있다.

(4) C2 서버 주소 암호화

< Figure5.  암호화되어 있는 C2 서버 >

악성코드실행하는 3개의 쓰레드는 각각 다른 C2 에 접근하는 것을 확인할 수 있었다.

이중에 하나의 URL은 자체 함수를 통해 암호화 되있었으나, 다른 C2와 동작이 다르지 않았다.  

[C2 서버 정보]

• http://www.lxi3.com:9999

• http://www.parrotsec.cn:58080

• http://qlsb.f3322.net:9898

(5) 원격 명령

< Figure6.  원격 명령 >

서버에 연결해 전달받은 값에 따라 동작하게 되어있다. 파일 다운로드, 명령실행, 레지스트리 삭제등의 명령이 가능하며 현재는 서버에서 값을 전달받지 않아 확인할 수 없었다.

<!--[if !supportEmptyParas]--> <!--[endif]-->

(6) at 명령어

< Figure7.  at command >

위 사진은 (2) 에서 at 명령어를 이용해서 2분뒤 실행한다던 코드로, 네트워크로 폴더에 복사할 수 있는 동작이 가능함을 알 수 있다. 보기 힘든 유형이지만, 다시 나타날 가능성이 있어보인다.

< Figure8.  Windows 10 에서 지원하지 않는 at >

예약 명령어인 at이 windows 10 부터는 지원하지 않는 명령어가 되었다. at 대신 schtasks 

명령어를 이용할 수 있다고 한다. 자세한 변경사항은  MSDN 사이트에서 확인할 수 있다.

[MSDN 가기]

3. 분석 정보 

해쉬	38596B350157433F3AEC9F1FF45EECB13A10F7CB39C2D6CDE47E35EFD701491D
파일크기	21,504 Bytes
유입파일명	parrotsec.exe
태그	exe_32bit, service, systemroot, upx, .net_clr
주요동작	서버 연결, 관리자 패스워드 브루트포스, 원격 명령 ,동작할 날짜 스위칭
초기감염방법	다운로드 추정
재실행방법	서비스
네트워크연결	www.parrotsec.cn:58080, qlsb.f3322.net:9898, www.lxi3.com

4. 진단

< Figure7.  MAX-AGENT 탐지 >