[리버싱 이 정도는 알아야지] #3. Windows 리버싱 기능 분석(1)

EVI$ION/인공지능 악성코드 분류

[리버싱 이 정도는 알아야지] #3. Windows 리버싱 기능 분석(1)

vinn👩‍💻 2024. 11. 21. 15:00

728x90

1. 언어 선택 및 코드 작성 방식

Win32 API로 코드를 작성하고 분석.
작성할 코드는 모두 main() 함수에 있다.

2. 파일 검색, 관리 코드

2.1 동작 확인

동일 경로에 Sample 01.exe가 있는지 확인
Sample 01.exe 파일 데이터를 획득
Sample 01.exe 파일을 삭제
"%TEMP%" 경로게 Replicated Sample 01.exe라는 이름으로 새로운 파일을 생성
Replicated Sample 01.exe에 Sample 01.exe 파일 데이터를 기록
Replicated Sample 01.exe를 실행

2.2 코드학습

1. 파일 복제 코드 기본 구성

파일 데이터를 읽거나 쓰기 위해서는 파일을 열어야 하는 데 이때 필요한 API는 CreateFile()
CreateFile()은 파일을 새로 만들거나 기존 파일을 열 수 있다.

첫 번째 인자는 생성 또는 열고자 하는 파일의 경로 값
- Sample05.exe는 현재 경로에 위치한 Sample01.exe를 복제해야 하기 때문에 %guswo rudfh%\Sample01.exe가 들어가야 한다.
- 현재 경로는 Sample05.exe의 위치에 따라 달라지며 CreateFile() API를 호출하기 이전에 현재 경로를 알아낼 필요가 있다.
- GetCurrentDirectory() API를 사용하면 현재 경로 값을 얻을 수 있고 여기에 \Sample01.exe 문자열을 더해주면 절대 경로가 완성된다.
두 번째 인자(Generic_Read)는 해당 파일을 어떤 용도로 쓸 것인지에 대한 권한 정보
다섯 번째 인자(OPEN_EXISTING)은 동일한 경로에 Sample01.exe가 있을 경우에 열겠다는 의미
- 파일이 없으면 호출이 실패로 끝난다.

파일을 열었으니 데이터를 가져와야 하는데 ReadFile() API를 사용하면 된다.

첫 번째 인자는 Sample01.exe의 핸들 값이다.
- 핸들: exe는 행위가 발생하도록 요청하는 것인데 exe가 어떤 행위를 요청할 때는 목적을 밝히고 관리자에게 허락을 받아야 한다. 여기서 CreateFile() API 호출이 특정 행위에 대한 요청이며 요청 승인에 대한 징표가 핸들이다.
두 번째, 세 번째 인자는 '읽어올 데이터를 저장할 위치 주소'와 '읽어올 데이터의 크기'이다.
- ReadFile() API를 호출하기 전에 읽어 올 데이터의 크기를 구하고 저장 공간을 할당해야 한다.
- GetFileSize() API를 사용하면 Sample01.exe의 크기를 구할 수 있다.
- 그리고 malloc() 함수를 사용하면 그 크기만큼 메모리 공간을 할당할 수 있다.
- 각각에 대한 결과 값을 ReadFile() API의 인자로 넣고 호출하면 'IpBuffer'에 Sample01.exe 파일 데이터가 저장하고 나서 핸들은 반환된다.

Sample01.exe도 삭제한다.
이제 "%TEMP%" 경로에 Replicated Sample 01.exe를 만드로 'IpBuffer'에 저장되어 있는 Sample01.exe 파일 데이터를 써야 한다.
CreateFile() API를 호출하기 전에 "%TEMP%\Replicated Sample 01.exe" 경로 문자열을 먼저 만들어주고 GetTempPath()와 wsprintf() API를 사용하면 된다.
CreateFile() API의 두 번째, 다섯 번째 인자에는 'GENERIC_WRITE'와 'CREATE_NEW'를 넣었는 데 이는 'Sample 01.exe 파일 데이터를 쓰기 위해 Replicated Sample 01.exe를 새로 만든다.'는 의미.
WriteFile() API를 사용하여 읽어 들인 파일 데이터를 복제한 exe파일에 기록.

이렇게 하면 파일 복제가 끝났고 Replicated Sample 01.exe를 실행하면 Sample 05.exe의 동작이 완료된다.

2. 파일 검색 기능 추가

: Sample 05.exe가 자체적으로 Sample 01.exe의 존재 여부를 확인하고 파일 복제 동작을 하도록 만드는 것.

파일 검색 기능을 사용하면 특정 경로에 있는 파일들을 탐색하고 정보 수집이 가능.
파일이나 폴더를 검색할 때 FindFirstFile(), FindNextFile() API를 사용한다.
- FindFirstFile() API 첫 번째 인자에는 검색하고자 하는 경로 값이 들어가는데 검색 대상이 모든 파일과 폴더이기 때문에 "%현재 경로%\*.*" 문자열을 만들어주면 된다.
- *은 모든 문자열을 의미하고 검색 대상이 모든 exe 파일이면, *. exe를 넣어주면 된다.

검색 경로를 완성하면 파일 검색을 해야 하는데 FindFirstFile() API의 코드에 첫 번째 인자에는 완성된 경로 값을 넣고, 두 번째 인자에는 WIN32_FIND_DATA 구조체 변수를 지정해 넣으면 된다.

구조체도 변수와 비슷하게 값을 담을 수 있는 주머니로 변수와 달리 구조가 정해져 있고, 그 안에는 약속된 값이 기록된다.

FindFirstFile()을 호출하면 처음으로 찾은 파일의 정보가 WIN32_FIND_DATA 구조체 변수인 'FileData'에 기록.
WIN32_FIND_DATA 구조체의 cFileName 멤버는 검색 파일의 이름 정보이며 이 정보를 가지고 문자열을 비교해서 Sample 01.exe가 맞는지 확인.
만약에 아니면 FindNextFile() API를 호출해서 다음 파일을 검색하고 찾으면 파일 복제 코드가 실행되며 이 작업은 현재 경로에 있는 모든 파일, 폴더 검색이 끝날 때까지 반복된다.

2.3 파일 분석

3. 레지스트리 관리 코드

3.1 레지스트리

:레지스트리는 일종의 데이터베이스로 Windows 시스템 정보와 함께 동작에 필요한 다양한 정보들이 기록.

1. Key

: 레지스트리에서 폴더처럼 사용하는 개념.

폴더에 하위 폴더 및 파일들이 들어갈 수 있는 것처럼 하위 키와 Value를 가질 수 있다.

2. Root Key

: 레지스트리의 최상위 키

HKEY_CLASSES_ROOT	파일 확장자와 확장자가 사용할 프로그램의 매핑 정보가 정의되어 있다.
HKEY_CURRENT_USER	현재 시스템에 로그온하고 있는 사용자가 설정한 시스템 환경 정보(네트워크, 응용 프로그램 등의 정보)가 정의되어 있다.
HKEY_LOCAL_MACHINE	시스템의 하드웨어 구성에 필요한 초기화 파일과 소프트웨어 정보, 드라이버 정보 등이 정의되어 있다.
HKEY_USER	시스템애 있는 모든 계정과 그룹에 대한 시스템 환경 정보가 정의되어 있다.
HKEY_CURRENT_CONFIG	시스템이 부팅 시 사용하는 하드웨어 프로파일 정보(글꼴, 프린터 정보 등의 부가적 정보)가 정의되어 있다.

3. Value

: 폴더에 속한 파일처럼 Key 안에 존재한다.

Type	Description	Type	Description
REG_SZ	문자열 값	REG_BINARY	이진값
REG_MULTI_SZ	다중 문자열 값	REG_DWORD	DWORD 값
REG_EXPAND_SZ	확장 가능한 문자열 값	RGE_QWORD	QWORD 값

4. Data

: Value가 가지고 있는 데이터.

Value의 Type에 따라 문자열 및 이진 값 등을 가질 수 있다.

레지스트리 실습

3.2 동작 확인

3.3 코드 학습

레지스트리의 Value를 등록, 조회, 수정하기 위해서는 Key를 열어줘야 한다.
RegOpenKeyEx() API를 사용하면 되는데 Key에 대한 핸들 값은 다섯 번째 인자인 hKey에 들어간다.

Key를 열었으면 Value를 등록하면 되는 데 바로 등록을 해줘도 무방하지만 여기서는 'Run_Sample'이라는 이름의 Value가 있을 수도 있다는 가정하에 동일 Value를 검색 및 삭제하는 코드를 추가했습니다.

RegEnumValue()는 Value를 조회할 때 사용하는 API로 두 번째 인자는 조회하고자 하는 Value의 번호이다.
0부터 값을 증가시키면서 Run Key에 존재하는 모든 Value를 검색하도록 작성한 것이다.
RegEnumValue()를 호출하면 'IpValue'에 검색된 Value의 이름 정보가 들어간다.
- 이 값과 'Run_Sample' 문자열을 비교하면 동일한 이름의 Value가 존재하는지 확인하고 그 결과에 따라 RegDeleteValue() API를 호출해서 Value를 삭제하도록 작성.

Sample 01.exe가 자동 실행되도록 Value를 등록하면 되는데 이때 RegSetValueEx() API를 사용하면 된다.
다섯 번째 인자는 Data를 의미한다.
IpSamplePath 변수에는 Sample 01.exe 경로 값이 들어가 있다.
여섯 번째 인자는 Data 크기 값이다.
Value 등록이 끝나면 RegCloseKey()를 호출해서 핸들 값을 반환한다.

Sample 01.exe의 자동 실행 등록이 완료되었으며 재부팅 경고 메시지를 출력하고 CMD 명령어를 이용해서 운영체제를 재부팅하면 Sample 06.exe의 동작은 완료된다.

3.4 파일 분석