'124.72.93.158'에 해당되는 글 1건

  1. 2009.05.26 www.520iq.com (2)
0x02 analysis2009. 5. 26. 15:12

오늘도 허니넷을 통해 획득한 악성코드를 실행해 보았습니다.
해당 악성코드는 FTP를 통해서 유포되고 있었으며 FTP 접속 후에 확인 결과 동일한 기능을 하는 여러가지 파일들이 있었습니다.
파일명은 519.exe, 522.exe, 523.exe와 같은 이름을 가지고 있었고 519.exe 파일의 경우 아이콘이 ini 파일의 아이콘을 가지고 있었습니다.

파일명 File Size md5sum
519.exe 464891 byte
c855c9cb654ffdd5d05e24a73896d949
522.exe 464379 byte
4a779c24f2d7535fa823bad27b444e0d
523.exe 464398 byte
2dec5b260113417fcfb826948941f19f


보시다시피 파일사이즈도 약간씩 다르고 md5sum값도 다르긴 하지만 실제 악성코드 실행시 행동은 동일하였습니다.
따라서 본 분석에서는 실제 허니넷에서 탐지되었던 523.exe를 분석하도록 하겠습니다.

523.exe를 실행하면 3개의 새로운 파일이 생성되었고 1개의 서비스가 등록되었습니다.






성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.




systemServer 서비스 속성입니다.




systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.




악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.




그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.




위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\





Posted by demantos

댓글을 달아 주세요

  1. darkhi

    개인적으로 궁금한 것이 생겨서 질문해봅니다.
    현업에서 실제로 악성코드 분석할 때에는
    코드에 중점을 두기보다는
    행동패턴에 중점을 두고 분석하는 것이 많나요?

    2009.05.27 00:33 [ ADDR : EDIT/ DEL : REPLY ]
    • 모두 다 그런것은 아닙니다.
      백신업체에 계신분들은 코드에 중점을 두고 분석을 하실겁니다.
      저는 현재 ISP 보안관제센터에 있다보니 코드에 중점을 두고 분석할만한 시간적 여유가 없기때문에
      행동분석을 하고 악성 도메인이나 IP가 나오면 그것을 차단하고 있습니다.

      그리고 행동분석이 가장 쉬우니까요...^^;

      2009.05.27 08:36 신고 [ ADDR : EDIT/ DEL ]