봇넷 관련 악성코드 (systemsv08.exe)
- 보안 정보/악성코드 분석보고서
- 2016. 9. 22. 14:33
malwares.com 코드분석팀 분석 자료
1. 개요
- 파일 크기 : 150,016 bytes
- SHA-256 : 361B40B2E5A2D9DA0BBD36EACF6976D0B55F7F74EAE57E9FAE744E905F9B2CAB
- 연관 태그 정보 : #exe_32bit, #autorun #peexe
- 유입 파일명 : systemsv08.exe, 193cscacqcqwefqwfqw.exe
- 악성코드 저장경로 : C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338
-698547211011232\systemsv08.exe - malwares.com 정보 : https://goo.gl/Q5FM0H
- 주요 동작
- 레지스트리 HKCU의 Run/RunOnce 등록
( HKCU\<UID>\Software\Microsoft\CurrentVersion\Run, RunOnce ) - 외부 서버 접속 시도 (109.236.87.193/5500)
< Figure1. Anti-Virus 진단 정보 (malwares.com) >
3. 특징
(1) 분석 지연 유도
분석 대상 샘플은 다음과 같은 기법을 적용해 분석 지연을 유도한다.
- Anti-Decompile
- Multi-Unpacking
- Indirect Reference
< Figure2. 언패킹 과정 >
(2) 외부 서버와의 통신
- Parameter 정보
- systemsv08 : Mutex 이름, 생성된 악성코드 파일명, 레지스트리 값
- 109.236.87.193 : 외부 서버 IP
- ws2_321.dll, advapi32.dll : API를 추가로 얻어야 할 모듈명
< Figure3. Explorer.exe 에 인젝션시 메모리 구조 >
하지만 해당 서버의 특정 포트로 접속을 시도하지만 현재 정상 동작이 이루어지지 않는다.
< Figure4. 외부 서버 접속 시도 >
4. 연관 정보
(1) 외부 서버
현재 외부 서버에 연결되지 않아 추가 동작을 정확히 확인하기 어렵다.
하지만 malwares.com에서 109.236.87.193 와 유사 동작을 하는 다른 IP를 확인한 결과 추가 악성코드를 다운로드 후 실행하는 형태로 추정되며 다운로드된 악성코드는 Proxy 동작 수행 및 외부 서버 접근등의 동작을 수행한다.
- 근거
- 다른 IP와 통신하는 악성코드와 분석 대상 악성코드의 내부 동작/코드 유사
- 다른 IP에서 다운로드되는 악성파일명과 분석 대상 악성코드의 유입 파일명의 형태 유사
< Figure5. 유사 변종 악성코드 다운로드 경로(malwares.com) >
malwares.com의 과거 이력을 살펴보면 IP는 계속 접근이 가능하지만 다운로드되는 악성코드는 1일 단위로 다른 이름, 다른 Hash를 갖는 악성코드로 업데이트되고 있으며 매일 대략 40개정도가 업데이트 되고 있다.
(2016.09.23일 현재 누적개수 : 2338개 )
또한 업데이트된 악성코드 파일명은 매일 다른 형태를 띄고 있어 일정한 패턴을 찾기 어렵다.
< Figure6. 2016년 6월이후 탐지 기록 >
현재까지 확인된 외부 서버 IP는 다음과 같다.
- 109.236.87.85
- 109.236.87.193 : 2016.01.26 ~ 2016.04.02
- 109.236.84.25 : 2016.06.04 ~ 현재
'보안 정보 > 악성코드 분석보고서' 카테고리의 다른 글
| 문서 파일내 DDE 기능을 활용한 악성코드 (0) | 2017.11.13 |
|---|---|
| 많은 서버에서 유포되는 백도어 NetSyst96.dll (0) | 2017.11.02 |
| 랜섬웨어 복구 프로그램 종류와 원리 (1) | 2016.05.02 |
| [상세보고서] 우크라이나 정전사태 관련 악성코드 (update. 2016.03.25) (4) | 2016.02.16 |
| [상세보고서] 게임 모니터링 프로그램 악성코드 (0) | 2016.01.27 |
