악성 파일 분석이라구요?[1]

업무 중 한 파일을 받게 되는데..... 

zip파일안엔 .vhd 파일이 들어 있다.

하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...!

 

.bat 파일 안에는 알 수 없는 알파벳들만 보이죠... But, 잘 보면 %문자% 패턴이 반복되는 것을 볼 수 있음 

 

정규 표현식을 이용하여 해당 문자 패턴을 제거 해보면 !

 

자자잔~~! 숨어있던 코드들이 보이는군요 dwm.bat  이름으로 다시 저장해서 실행시키는 것 같죠?

해당 코드를 쭉쭉 내려봐 볼까요? 

누가 봐도 의심스럽게 생긴 문자열들이 보입니다. :: 랑 ::: 로 구분 된 것을 보니 나중에 따로 사부작 사부작 하는 코드 같쥬? 

대충 보니깐 Base64로 인코딩 된 거 같은데... 저 많은 문자열을 하나하나 붙여서 언제 확인해 보나....

 

걍 실행시켜!! 

 

이럴 줄 알았어!! powershell 코드로 작동이 되는군요.... 파워쉘을 이용해서 해당 문자열들을 실행시키는 거 같은데 

어떤 문자열인지 확인을 해볼까요?

 

 

하... 요놈 base64로 디코딩했더니 또 문자패턴 삽입으로 알아보기 힘들게 해 놨군요. 

 

하지만 별것두 아니니깐 삭제 슈슉!!

 

오호 역시나 해당 ::: 부분 매칭해서 코드 실행을 하는군요 

 

AES 암호화로 되어 있는지 해당 복호화 하는 키와 초기백터 값들이 보이네요

 

코드를 좀 더 내려 봐 볼까요?

Gzip 머시기 Decompress 머시기 가 보이는 것을 보아하니 암축파일 해제하는 코드도 보이는 것 같고

 

:: 부분 패턴도 찾는 코드도 보이는군요! "\" 기준으로 나누고 변수 값을 지정한 거 보니

압축파일 2개로 나눠서 drop 할 것 같은 느낌적인 느낌...? 

 

일단 ::: 부분부터 한번 살펴봅시다!

 

 

base64 디코딩 후 UTF-16으로 한 번 더 디코딩 해야 하는군요... 두 번씩이나... 크흠...

 

디코딩된 코드를 살펴봅시다.

이것저것 뭔가 하긴 하는데 대부분 안티바이러스를 회피할 목적으로 만들어진 코드들 같군요 

 

HEX 데이터로 보이는 부분을 텍스트화해서 보니 amsi.dll을 불러오네요

 

안티바이러스를 우회하려고 하는 것 같습니다. 

 

더 자세히 가면 머리 아파지니 다음 :: 부분 코드로 pass~!

(해당 부분은 상세히 다시 분석해 보는 걸로...)

오호 :: 부분을 \ 기준으로 줄 바꿈을 해보니 정확히 서로 다른 두 문자열이 나왔습니다!!!

 

각 각 AES암호화되어있는 것 같으니 복호화를 시켜보도록 하겠습니다.

 

예상 적중! 

해당 문자열은 gz 형태의 압축파일이었다...!!

그렇게 두 개의 압축파일 획득에 성공하는데....

 

 

파일 크기가 다르군요? 작은 것부터 한번 봐봅시다.

오홍 원래 파일명은 fovzpqcgxh.tmp 인 것 같습니다.

 

머야 실행 파일임? 

 

두 파일 다 실행 파일이었네요..

 

 

나머지 하나는 miypesxbsg.tmp 파일명으로 이놈이 용량도 더 큰 것이 뭔가 하는 것 같습니다. 

 

그럼 디버거로 분석해야 하는데 흠 ... 시간이 더 걸릴 것 같으니 다음 편으로 만들어야겠군요~!

악성 파일 분석이라구요?[2]-(베놈과의 만남)