많은 서버에서 유포되는 백도어 NetSyst96.dll

malwares.com 코드분석팀 분석 자료


<부제 :  너도 그 악성코드써? 나도 그거 쓰는데..>


1. 개요

 
malwares.com을 통해 유입된 해당 악성코드는 외부로부터 다운로드 받는 파일이 암호화돼 있었다. 이력을 확인해 본 결과, 2015년부터 지금까지 유포되고 있는 악성코드임을 알 수 있다. 그 이전부터 유포됐을 가능성도 배제할 수 없으며, 많은 서버에서 유포되고 있어 저명한 악성코드로 추측하고 있다. 그러나 해당 샘플이 어디서 공유되고 있는 지는 알 수 없다. 어떻게 같은 샘플을 가지고 서로다른 많은 공격자가 사용하는지 분석을 통해 알아 보자. 


2. 분석 정보 

(1) Dropper


< 그림 1. Main 함수 >

 

szUrl             : 4jNnIiz7AYwSsF0fDp4YatEvOJXt+j7K4eauVpX6VwkjB7o=

Decode szUrl  : http://139.199.30.87/NetSyst96.dll

동작중인 URL  : http://www.swboss.com/loader.jpg


IDA로 열어 메인에서 하나의 문자열을 풀어내고 시작한다. 동적으로 실행시켜 확인했을 때 위의 URL으로 디코딩됐다. 분석 중에는 해당 URL이 닫힌 상태이므로 임의로 동작중인 URL으로 수정해 분석을 진행했다.

 


< 그림 2. 파일명 추출 >


얻어낸 URL에서 파일명만 자른 뒤, 확장자를 .dll로 변경한다. 이 샘플은 이미 확장자가 dll이므로 변경사항이 없지만 유포이력을 보았을 때 샘플에 따라 .jpg인 경우도 있었다다른 확장자로 배포했을 때도 동작할 수 있기 위한 코드로 추정된다. 그리고 sub_4011BD 함수로 진입한다진입한 함수에서 'NetSyst96.dll' 이름으로 파일을 체크하지만 URL로부터 파일을 다운로드 받는 코드가 함수의 하단에 있기 때문에 파일이 존재하지 않아 동작하지 않는다. 그러나 반복문으로 돼있어 모든 동작이 이루어지기 전에는 종료되지 않는다.



< 그림 3. 동작 완료까지 반복문 동작 >

< 그림 4. 외부 파일 다운로드 >


InternetOpenA : 인터넷 열기

InternetReadFile : 인터넷 응답내용 불러오기

WriteFile : 응답내용을 파일에 쓰기

CloseHandle : 파일 핸들 닫기


위 로직대로 파일을 다운로드받고 다운로드 받은 파일을 쓴다. 이렇게 작성된 파일은 반복문을 통해 다시 사용된다.

 

 

 


< 그림 5. 인코딩 되어있는 외부 바이너라 값 >

< 그림 6. 바이너리 디코딩 & 함수 호출 >


네트워크를 통해 내려받은 파일은 암호화돼있어 알아볼 수 없으나 sub_401375에서 암호화 해제를 통해 실행 가능한 바이너리 코드를 가지게 되고, 위 사진과 같이 DllFuUpgradrs 함수를 aXe9oy0cqvlsyhp 인자와 함께 실행시키고 종료한다.


(2) DLL


< 그림 7. 호출된 DLL 함수 >


[그림 7]은 인자와 함께 호출되는 함수로 호출된 인자는 sub_100074C0을 호출하게 되고 전달받았던 인자를 복호화해 구조체에 저장한다.



< 그림 8. 복호화된 함수의 인자 >


복호화 된 문자열에는 공격자의 정보가 담겨있었고, 이 정보를 이용해 추가적인 동작들이 발생한다.

  

< 그림 9. 샘플의 커맨드 명령 >


결과적으로 추가적으로 다운로드받은 샘플은 BACKDOOR, CAM, KeyLogger, KillAV, CMD 명령 등 전체적인 기능을 수행하는 것으로 분석된다. 해당샘플을 실행했을 경우 백신 프로그램을 이용해 치료가 필요하다.

 

 

(3) C2 SERVER


< 그림 10. 해당 서버의 이력 >


해당 샘플과 통신한 도메인을 조회하면 악성 URL 이력이 3회인 것으로 나타난다. 2015년 이후 최근에 다시 2차례 나타난 것으로 보아 활동을 재개한 것으로 추정된다.

 


< 그림 11. 해당 샘플의 파일 이력 >


추가적으로 다운로드됐던 악성코드는 배포 이력이 2015년부터 220여 건에 다달았다위의 배포 URL마다 공격자는 다르지만, 파일의 해쉬는 같으므로 오픈형식의 악성코드로 추정한다.



3. IoC



해쉬

4CDDBE7AE962818EFB083DE64EC25834290A58738333AF6E013E92A793E38D86

파일크기

36,864 Bytes

유입파일명

X

태그

exe_32bit, upx, backdoor, kazy, farfli

주요동작

문자열 암호화, 코드 암호화, 추가파일 다운로드

초기감염방법

다운로드 추정

재실행방법

X

네트워크연결

http://139.199.30.87/NetSyst96.dll


이 글을 공유하기

댓글

Designed by JB FACTORY