오늘도 허니넷을 통해 획득한 악성코드를 실행해 보았습니다.
해당 악성코드는 FTP를 통해서 유포되고 있었으며 FTP 접속 후에 확인 결과 동일한 기능을 하는 여러가지 파일들이 있었습니다.
파일명은 519.exe, 522.exe, 523.exe와 같은 이름을 가지고 있었고 519.exe 파일의 경우 아이콘이 ini 파일의 아이콘을 가지고 있었습니다.
| 파일명 | File Size | md5sum |
| 519.exe | 464891 byte |
c855c9cb654ffdd5d05e24a73896d949 |
| 522.exe | 464379 byte |
4a779c24f2d7535fa823bad27b444e0d |
| 523.exe | 464398 byte |
2dec5b260113417fcfb826948941f19f |
보시다시피 파일사이즈도 약간씩 다르고 md5sum값도 다르긴 하지만 실제 악성코드 실행시 행동은 동일하였습니다.
따라서 본 분석에서는 실제 허니넷에서 탐지되었던 523.exe를 분석하도록 하겠습니다.
523.exe를 실행하면 3개의 새로운 파일이 생성되었고 1개의 서비스가 등록되었습니다.
성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.
systemServer 서비스 속성입니다.
systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.
악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.
그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는
http://124.72.93.158:8761 이라는 내용이 들어 있습니다.이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.
위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.
즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.
어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.
아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.
오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\
