본문 바로가기

리눅스/모의 해킹

3.20 악성코드 분석

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

bind text로 추출 및 필요부분만 남김

 

File pos       Mem pos          ID   Text
========       =======          ==   ====

00000000289F   00000040289F      0   kernel32.dll
0000000028B7   0000004028B7      0   msvcrt.dll
0000000028CB   0000004028CB      0   JO840112-CRAS8468-11150923-PCI8273V


0000000028EF   0000004028EF      0   HASTATI.
000000002901   000000402901      0   %s*.*
000000002907   000000402907      0   Program Files
000000002915   000000402915      0   ProgramData
00000000292B   00000040292B      0   \\.\%c:
000000002933   000000402933      0   \\.\PhysicalDrive%d
00000000294A   00000040294A      0   shutdown -r -t 0
00000000295B   00000040295B      0   taskkill /F /IM pasvc.exe
000000002975   000000402975      0   taskkill /F /IM Clisvc.exe

 

 

 

 

00000000289F   00000040289F      0   kernel32.dll

 

0000000028B7   0000004028B7      0   msvcrt.dll

 

프로그램을 실행할때 필요한 dll파일 (커널)

 

0000000028CB   0000004028CB      0   JO840112-CRAS8468-11150923-PCI8273V

 

위 'JO840112-CRAS8468-11150923-PCI8273V' 라는 파일매핑 오브젝트의 존재여부 확인 하여

단 하나의 프로세스만 실행하도록 한다. / 해당 이름으로의 스스로를 참조하는 파일 매핑개체 생성

 

0000000028EF   0000004028EF      0   HASTATI.

 

'HASTATI' 라는 문자열로 하드 및 아래 나열된 위치에 덮어 씌웁니다.

 

000000002901   000000402901      0   %s*.*
000000002907   000000402907      0   Program Files
000000002915   000000402915      0   ProgramData
00000000292B   00000040292B      0  
\\.\%c:
000000002933   000000402933      0  
\\.\PhysicalDrive%d

 

이곳에 'HASTATI' 로 도배해둠 (기존데이터 삭제)

 

 

 

00000000294A   00000040294A      0   shutdown -r -t 0

 

재부팅 시킨다

 

 

00000000295B   00000040295B      0   taskkill /F /IM pasvc.exe
000000002975   000000402975      0   taskkill /F /IM Clisvc.exe

 

보안프로그램 (anti virous 프로그램 강제 종료) / winEXEC api를 이용함

 

 

------------------------------------------------------------------------------------

 

 

System Explorer 를 이용한 악성코드 실행 전 / 후 비교

 

1 이라는 이름으로 악성코드 실행 전 스냅샷 보존

 

악성코드 실행

 

2 라는 이름으로 악성코드 실행 후 스냅샷 저장

 

1,2 스냅샷 비교

 

변경된 스냅샷 목록

 

악성코드 실행 후.zip

 

 

 

HXD로 하드디스크 내용이 HASTATI 로 덮혀 씌워진 것을 확인할수 있다.

 

 

 

process monitor 을 이용한 악성코드 실행 전 / 후 비교

 

 

 

악성코드 실행 전

 

 

 

 

악성코드 가동중인 모습

 

5분후 시스템이 재부팅 되고

 

 

 

부팅이 되지 않는 모습을 확인하세요

 

 

오픈 블로그 에는 악성코드를 첨부하지 않습니다. (컴으로 켜시면 컴이 날라가요.. ㅎㅎ)