[리버싱 이 정도는 알아야지] #5. Windows 리버싱 기능 분석(2) :: 윱

[리버싱 이 정도는 알아야지] #5. Windows 리버싱 기능 분석(2)

vinn👩‍💻 2024. 11. 21. 18:30

2024. 11. 21. 18:30

728x90

1. 외부통신 관련 코드

외부와 통신할 때, Win32 Internet API 및 Win32 Socket API를 사용
그 과정에서 데이터를 주고받는 동작을 수행
- UDP 통신: 단방향 통신
- TCP 통신: 양방향 통신

1.1 동작 확인

Sample 07.exe는 Internet API를 사용해서 procexp.exe를 다운로드하고 실행.
procexp.exe는 MS에서 제공하는 프로세스 모니터링 Tool
TCPView.exe(sysinternals에서 제공하는 네트워크 모니터링 Tool)를 사용하면 Sample 07.exe가 "live.sysinternals.com"으로 접속하는 것을 볼 수 있다.
그 결과 "%temp%" 경로에 procexp.exe가 다운로드되고 다운로드 완료된 procexp.exe를 실행하고 나면 Sample 07.exe의 동작이 끝난다.

1.2 코드 학습

procexp.exe를 다운로드 한다고 했을 때, 받은 데이터를 저장할 공간이 있어야 한다.
"%temp%" 경로에 procexp.exe라는 이름으로 파일을 미리 생성한다.

InternetOpen() API를 사용해서 WinINet 함수를 초기화한다.(Internet API를 위한 준비 작업)

InternetOpenUrl() API를 쓰면 URL에 지정된 리소스를 열 수 있다.
두 번째 인자 값 'IpUrlPath'에는 URL("http://live.sysinternals.com/procexp.exe")가 들어간다.

InternetReadFile() API를 사용하면 서버에서 데이터를 읽어올 수 있다.
InternetReadFile()의 세 번째 인자에는 크기 값이 들어가므로 먼저 크기를 물어봐야 한다.
크기를 물어보기 위해서는 InternetQueryDataAvailable() API를 사용한다. 그 결과 서버에서 받을 수 있는 데이터의 크기가 'dwSize'로 들어가게 된다.
데이터를 받고 나면 "%temp%" 경로에 있는 procexp.exe에 채워 넣고 이 작업은 procexp.exe 다운로드가 완료될 때까지 반복된다.
다운로드 여부는 'dwRead'값으로 확인할 수 있고 'dwRead'에는 읽은 데이터를 받을 변수의 포인터가 들어갑니다.
만약 다운로드가 끝나거나 Error 가 발생할 경우 0이 들어가고, 이때 다운로드 동작이 종료된다.

다운로드가 끝나면 핸들은 반환이 되고 마지막으로 procexp.exe를 실행하고 Sample 07.exe는 종료된다.

1.3 파일 분석

Sample 07.exe는 "%temp%" 경로를 알아낸 뒤에 procexp.exe 파일을 만든다.

데이터를 수신받기 위해서는 InternetOpenUrlA() 호출해서 "https://live.sysinternals.com/procexp.exe"로 연결을 시도한다.
연결 수립 여부는 InternetOpenUrlA() 리턴 값으로 확인할 수 있다.
InternetQueryDataAvailable() API를 사용하면 한 번에 얼마만큼의 데이터를 받을 수 있는지 알 수 있다.

그리고 그만큼 데이터를 받아서 파일에 담으면 된다. InternetReadFile() API를 호출하면 'IpBuffer'가 가리키는 주소에 파일 데이터가 들어온다.
'DWORD PTR SS:[ESP+10]'은 'dwRead'값을 가리킨다. 이 값이 0이 아니면 데이터 수신 동작이 계속 반복되고 'dwRead'값이 0이 될 때, 다운로드 동작이 끝나고 핸들 값을 반환한다.

다운로드한 procexp.exe를 실행시키면 Sample 07.exe 동작은 마무리된다.

2. Window 제어 코드 학습 및 분석

Windows 운영체제는 다중 실행 환경을 제공하는 데 이러한 환경 속에 윈도우들 간에 동기화나 데이터 교환을 하기 위해서는 서로를 알아내는 방법이 필요하다.

2.1 다른 프로그램의 윈도우 제어

FindWindow() API는 클래스 이름과 Caption 이름을 사용해서 원하는 윈도우의 핸들 값을 얻을 수 있다.
윈도우를 찾지 못했을 때, NULL 값을 반환한다.

첫 번째 인자인 lpClassName은 클래스명, 두 번째 인자인 lpszWindowName은 윈도우 캡션명을 의미한다.
둘 다 옵션이기 때문에 필요에 따라 넣거나 NULL 값을 줄 수 있다.(검색의 정확도를 높이기 위해서 값을 모두 넣어줘도 된다.)

FindWindow()는 최상위 윈도우를 찾을 때 사용하는 API로 어떤 윈도우에 종속된 윈도우를 찾고자 할 때는 FindWindowEx()를 사용해야 한다.
FindWindowEX() API는 FindWindow()의 기능을 모두 포함하고 추가적인 기능을 제공한다.
첫 번째 인자인 hwndParent는 자신이 찾는 윈도우의 최상위 윈도우 핸들이다. 여기에 NULL 값을 주면 FindWindow()와 동일하게 동작.
두 번째 인자인 hwndChildAfter는 동일한 level의 윈도우들 중에서 검색 시점을 결정하는 요소이다. 보통 NULL 값을 사용한다.

*P13~20

FindWindow()를 사용해서 notepad.exe에 문자열 출력시키는 연습은 다음에 이어서....

2.2 동작 확인

:Sample 08.exe는 InternetExplorer.exe를 실행하고 특정 웹 페이지에 접속하도록 만든다.

InternetExploer를 실행한다.
주소 입력창을 찾고 핸들을 획득한다.
주소 입력창에 "www.naver.com" 문자열을 입력하고 ENTER 메시지를 전송한다.

2.3 코드 학습

FindWindow() API를 사용해서 코드를 작성할 때는 "어떤 윈도우에 무슨 메시지를 던질 것인가?"가 가장 중요.
- 내가 찾은 윈도우가 메시지 전달 대상이 아닌 경우
- 잘못된 메시지를 전달해서 제대로 동작하지 않는 경우
- 많은 확인 과정 필요
Spy++의 Find기능을 사용해서 주소가 입력되는 윈도우를 확인
타깃으로 삼은 윈도우 InternetExplorer.exe의 주소 입력창에 URL 입력하고 Enter 키를 전달하면 원하는 주소로 접속

실제 타깃 윈도우와 일치하지 않음

InternetExplorer.exe는 Windows에서 기본으로 설치되는 소프트웨어이기 때문에 설치 경로가 정해져 있다. 이 점을 이용해서 InternetExplorer.exe 경로를 만들고 실행한다.

FindWindow()와 FindWindowEx() API를 사용해서 InternetExplorer.exe의 Edit 윈도우 핸들을 얻으면 된다.

Edit 윈도우에 URL을 입력하고 Enter 이벤트가 발생하도록 가상키 코드를 전달하면 된다.

2.4 파일 분석

Sample 08.exe 파일을 분석하기 위해 ExpandEnvironmentStrings() API를 사용
- ExpandEnvironmentString() API는 특정 환경 변수에 대한 경로 값을 얻을 수 있다.
- 이를 이용해 "%ProgramFiles%" 경로를 알아낼 수 있다.

"\Internet Explorer\iexplore.exe" 문자열을 더하고 WinExec() API를 호출해서 Internet Explorer.exe를 실행한다.

문자열을 합치는 과정에서 어셈블리 코드들의 역할

InternetExplore.exe가 완전히 실행될 때까지 일정시간을 대기한 다음, FindWindow()와 FindWindowEx() API를 사용해서 타깃 윈도우를 찾는다.
IEFrame부터 차례로 자식 윈도우를 찾아가다 보면 Edit 윈도우의 핸들 값을 얻을 수 있다.
Edit 윈도우에 URL 정보를 입력하도록 설정한다. SendMessage()를 사용하면 윈도우에 메시지를 전달할 수 있다.

WM_KEYDOWN 메시지를 전달해서 엔터키를 누르는 것과 같은 효과가 발생하도록 한다.
그 결과 특정 웹 페이지로 접속하게 된다. 세 번째 인자로 들어가는 0x0D는 가상키 값으로 VK_RETURN을 의미한다.

3. TEB & PEB

Windows에서 API를 호출하는 방식은 직접 호출과 간접 호출로 나눌 수 있다.
호출 주소 정보를 IAT에 기록해놓고 참조하는지, 아니면 직접 알아내는지의 차이가 있다고 보면 된다.(지금까지는 모두 API 간접 호출 사용)

여기서 'CALL DWORD PTR DS:[0x00405000]'은 0x00405000 주소에 있는 4바이트를 호출한다는 의미
0x00405000 주소는 Import Address Table이고 WinExec() API 주소가 기록되어 있다. 그 결과 WinExec() API를 호출한다.

직접 호출은 WinExec()는 Kernel32.dll에서 Export 하는 API다.
호출 주소는 당연히 Kernel32.dll의 Export Table에 기록되어 있다. Export Table의 위치 정보는 PE Header에 있다.

Kernel32.dll에 로드되어 있는 주소를 알아낸다.(= ImageBase)
ImageBase를 기준으로 +0x0000008D 주소에는 EXPORT Table의 RVA가 기록되어 있다.
EXPORT Table로 이동해서 WinExec() API의 호출 주소를 얻는다.
WinExec() API를 호출한다.

** 다음에 더 이어서....

'EVI$ION > 인공지능 악성코드 분류' 카테고리의 다른 글

[리버싱 이 정도는 알아야지] #3. Windows 리버싱 기능 분석(1) (1)	2024.11.21
[STUDY] #WEEK3 - QUIZ (0)	2024.10.04
[SESSION] 3. PE파일(2) (1)	2024.10.04
[STUDY] #WEEK2 - QUIZ (0)	2024.09.24
[SESSION] 2. PE파일 (0)	2024.09.24

+ Recent posts

Powered by Tistory, Designed by wallel

티스토리툴바