저별이의 초보 코딩

*아래 내용은 동아리 스터디에서 진행했던 내용이며 혹시모르는 문제발생 방지를 위해 별도의 이미지, 코드를 공개하지 않습니다.*

1. 다운로더 악성코드

• 웹서버에 존재하는 링크르르 타고 들어가서 다운로드하고 실행해서 침입하는 것을 말한다.
• 트로잔이라는 기법과 함께 자주 쓰인다.

2. 트로잔이란? 

• 악성 루틴이 숨어있는 프로그램, 겉보기에는 정상적이지만 안에 악성코드가 담겨있음
• 보통 다른 파일에 삽입되거나 스스로 전파하지는 않음
• 목적: 파괴적 목적, 자원이나 신분의 사용, 금전 절도, 랜섬웨어, 데이터 절돠, 스파잉,
  감시 또는 스토킹

3. API(애플리케이션 프로그래밍 인터페이스)

 주어진 코드에서는 LoadLibrary와 URLDownloadToFILE이 해당한다. URLDownloadToFILE은 그 뒤에 나오는 링크로 가서 다운 받으라는 의미를 가진다. 그리고 그 뒤의 파일 주소는 다운로드 후 저장되는 것이다.

3-1.URLDownloadToFILE

• szURL: 다운로드할 URL이 포함된 문자열 값에 대한 포인터. NULL로 설정할 수 없다.
• URL이 유효하지 않으면 INET_E_DOWNLOAD_FAILURE이 반환
• szFileName: 다운로드를 위해 생성할 파일의 이름 또는 전체 경로를 포함하는 문자열 값에 대한 포인터, 경로가 포함된 경우 대상 디렉토리가 이미 존재해야함
• dwReserved: 예약됨. 0으로 설정해야 한다.
• lpfnCB:IVindStatusCallback 인터페이스 호출자 포인터. 다운로드 상태를 수신할 수 있음. 필요없는 경우 NULL로 설정할 수 있다.
• 반환값: S_OK , E_OUTOFMEMORY , INET_E_DOWNLOAD_FAILURE
• 파일을 생성할 수 없고 다운로드가 취소되어도 다운로드가 성공되었다는 반환값이 출력됨.

3-2 WinExec - exe파일을 실행

빌드를 하게 되면 빌드가 성공한 것을 확인할 수 있다. 하지만 URLDownload라는 함수자체가 함부로 쓰면 안되고 존재하는 것으로 임시로 했기 때문에 실제 실행은 안된다. 형태는 어느정도 맞다는 것을 확인할 수 있다. 그리고 exe 파일 형태로 실행 파일도 생겼다.

4. VirusTotal을 이용한 악성코드인지 확인하기

virustotal을 이용해 악성코드인지 확인해 보았다. 일부 프로그램에서 악성코드라고 경고하는 것을 확인할 수 있다. 이 이유는 앞에서 언급한 두 함수 때문이다. urldownloadtofile과 winexec가 악성코드로 인식된 것이다.

5. sysAnalyzer을 이용한 분석

• SysAnalyzer란? 동적 분석 툴
• 사용하는 API함수를 알아보거나 접근하는 디렉토리 확인, 모든 패킷 캡처, 무엇이 변경되었는지 등 많은 정보를 얻을 수 있다.

sysanalyzer 프로그램을 실행한 뒤 executable에 실행파일 넣어주고 시작하기를 하면된다. 실행해보면 분석된 파일들을 확인할 수 있다. 이제 viewer을 이용해 리포트 파일이 나오게 되는데 디버깅이나 디버그 로그파일에 대한 리포트를 볼 수 있다. viewer에서 각 탭을 클릭해서 dll파일이나 여러 포트, 파이프 등을 확인 할 수 있다. string.log를 이용해 dll파일도 확인할 수 있다. 전체 파일에 있는 string값을 가져온 파일이다.

6. pestudio를 이용한 분석

pestudio를 열어서 downloader.exe를 불러와서 진행한다. pestudio에서는 위험도 역시 확인할 수 있는데 1
이 가장 위험한 것이고 숫자가 올라갈수록 안전하다. 이렇게 각각에 대해서 다 확인할 수 있다. 여기서 다시 string을 보면 무엇이 블랙리스트인지 위치는 어디에 있는지 값은 어떤 것인지 알려준다. 다시 indicater를 보게 되면 문자열을 참조하였다는것이랑 virustotal이랑 이런 파일들이 실행되었다는 것을 확인하고 위험한 것들을 확인할 수 있다. 무엇이 위험한지 확인을 하는 것이라고 이해를 하면된다. 각각의 indicater들을 확인하면된다. 그리고 virustotal도 확인할 수 있는데 앞에서 언급했던 virustotal 사이트에서 나왔던 것과 마찬가지로 score는 13이라는 것을 볼 수 있다.

그리고 이외에 다양한 메뉴을 이용해 악성코드를 탐지할 수 있다.