본문 바로가기
IT

[Lab 1-3] Practical Malware Analysis WriteUp

by 고간디 2024. 5. 3.

Lab 1-3

Lab01-03.exe

 

strings, imports 이런 거 다 IDA 한곳에서 쉽게 찾을 수 있는데 프로그램 여러 개 띄워놓고 분석하는게 간지니까 이렇게 하겠다.

 

Questions

1.  Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it match
any existing antivirus definitions?

당연하게도 걸린다.

이전 Lab 1-1이나 Lab 1-2에서 준 바이너리보다 더 많이 걸리는 것 같다.

 

 

 

 

2. Are there any indications that this file is packed or obfuscated? If so,
what are these indicators? If the file is packed, unpack it if possible.

VirusTotal: Lab01-03.exe
PEiD: Lab01-03.exe

FSG로 패킹되어 있는 것을 확인할 수 있다.

 

FSG 언패킹하기

  1. OllyDbg와 OllyDump 플러그인 설치 후 플러그인 적용
  2. OllyDbg 관리자 권한으로 실행
  3. File -> Open 에서 Lab01-03.exe 열기
  4. Entry Point Alert 확인, OEP 주소 확인 (0x00405000)
  5. Options -> Debugging Options -> SFX -> Trace real entry bytewise (very slow) 체크 후 OK
  6. 왼쪽 상단 File, View 아래에 왼쪽 가리키는 이중 화살표 버튼 클릭
  7. Process still active 예
  8. CPU main thread 첫째줄 Real entry ponit of SFX code 문구 확인 (REP)
  9. Options -> Debugging Options -> SFX -> Stop at entry of self-extractor 체크 후 OK
  10. Plugins -> OllyDump -> Dump debugged process
  11. Modify에 (OEP 주소 - 0x00400000) 입력 (예: OEP = 0x00401090 -> Modify: 1090)
  12. Dump를 눌러 언패킹된 exe 파일 생성 후 분석

 

PEiD: dump_Lab01-03.exe

위의 과정들로 언패킹을 완료한 후 PEiD에 덤프 파일을 올려보면 이렇게 성공적으로 언패킹이 완료된 것을 알 수 있다.

 

 

 

 

3. Do any imports hint at this program’s functionality? If so, which imports
are they and what do they tell you?

OLEAUT32.dll / ole32.dll

Dependencies로 import 함수들을 찾아봤는데 이 정도 밖에 안 나온다..

지금까지 계속 보였던 Kernel32.dll에서 import 하는 함수도 안 나온다

 

IAT 복구

  1. Import REConstructor 설치 후 관리자 권한으로 실행
  2. OEP 입력 후 IAT AutoSearch
  3. Get Imports
  4. Fix Dump

IAT 복구를 한 번 해보니까 Dependencies에서 import 함수가 좀 많아지긴 했다.

하지만, 여전히 OLEAUT32.dll과 ole32.dll에서만 import를 하고 있다.

 

BinText: dump_Lab01-03_.exe

이상한 게 cmd에서 strings를 사용하거나 Dependencies로 보면 kernel32.dll이나 웹 링크 같은 건 보이지 않는다.

근데 BinText에서는 또 더 많은 것들을 찾아볼 수 있었다.

이게 제일 좋은 듯??

 

인터넷 주소 하나 있고 인스턴스 생성 뭐 그런 거 있는데 딱히 특별해 보이는 함수는 내 수준에서는 보이지 않는다.

설정된 인터넷 주소로 연결되는 그런 악성코드인 듯하다.

 

 

 

 

4. What host- or network-based indicators could be used to identify this
malware on infected machines?

BinText에서 확인했었던 웹 주소가 되겠다.

http://www.malwareanalysisbook.com/ad.html 

ad.html 형식인데 아마 광고 사이트가 아닐까..

728x90
반응형

'IT' 카테고리의 다른 글

.  (0) 2024.05.04
[Lab 1-4] Practical Malware Analysis WriteUp  (0) 2024.05.04
[Lab 1-2] Practical Malware Analysis WriteUp  (0) 2024.05.03
[Lab 1-1] Practical Malware Analysis WriteUp  (0) 2024.05.02
[AmateurCTF 2024 Write Up] 동아리 팀으로 나간 CTF  (0) 2024.04.14

관련글

댓글

티스토리툴바