티스토리

윱

검색하기

[리버싱 이 정도는 알아야지] #4. 시스템 설정 변경 악성파일 분석

카테고리 없음

[리버싱 이 정도는 알아야지] #4. 시스템 설정 변경 악성파일 분석

vinn👩‍💻 2024. 11. 21. 16:12

728x90

1. 시스템 설정 변경 악성파일 분석

1.1 소개

challenge 02.exe는 감염 PC의 시스템 설정을 변경하고 키 설정을 조작하는 등의 악성행위를 한다.
그 과정에서 파일 및 레지스트리 관련 코드를 많이 사용한다.

1.2 Challenge 02.exe 분석

1.2.1 기본 동작

Stub 코드가 기본적으로 가지는 GetStartupInfo(), GetCommandLine() 등의 코드는 0x0041D313 지점의 호출 주소 내부에 있다.
파일이 악성 행위를 하기 위해서는 "%WINDIR%\drivers" 경로에 위치해 있어야 하는데 오른쪽 코드는 실행 경로가 "%WINDIR%\drivers" 인지 확인하는 코드이다.
- 실행 경로가 일치하면 조건 점프 코드로 인해 0x0041D75C 지점으로 이동해서 악성 동작을 한다.
- 실행 경로가 일치하지 않으면 "%WINDIR%\drivers" 경로에 servise.exe라는 이름으로 복제 파일을 생성 및 실행하고 악성행위가 발생한다.

1.2.2 동작 중인 프로세스 확인

servise.exe 프로세스 동작이 확인되면 이미 악성파일이 동작하고 있다고 판단.
일반적으로 실행 중인 프로세스의 정보를 얻을 때, CreateToolhelp32Snapshot(), Process32First(), Process32Next() API를 사용하고 CreateToohelp32Snapshot() API를 사용하면 동작 중인 프로세스들의 스냅샷을 찍을 수 있다.
그리고 스냅샷으로 프로세스를 하나씩 검색하면서 servise.exe를 찾으면 된다.
- 이때 Process32First(), Process32Next() API를 사용하는데 각 API의 첫 번째 인자는 CreateToolhelp32Snapshot() API 호출로 얻은 핸들, 두 번째 인자는 PROCESSENTRY32 구조체 변수이다.
- 이 값을 활용해서 servise.exe가 동작하고 있는지 확인한다.

szExeFile[MAX_PATH] 멤버는 검색된 프로세스의 이름을 지칭하며 Process32First()나 Process32Next() API를 호출하면 PROCESSENTRY32 구조체 변수의 szExeFile[MAX_PATH] 멤버에 검색된 프로세스의 이름 문자열이 입력된다.

siExeFile[MAX_PATH]에 입력 되는 프로세스 이름과 "servise.exe" 문자열과 비교해서 servise.exe가 동작하고 있는지 확인하고 동작이 확인되면 BL 레지스터에 1의 값을 입력한다.
모든 프로세스 검색이 끝나면 BL 값을 확인해서 servise.exe의 생성 및 실행을 결정한다.

1.2.3 servise.exe 생성 및 실행

servise.exe 생성 코드

servise.exe 생성 코드

servise.exe는 Challenge 02.exe의 복제본
코드가 동작하면 "%WINDIR%\drivers" 경로에 service.exe가 만들어진다.

Challenge 02.exe는 SetFileAttributesA() API를 사용해서 servise.exe를 숨김 파일로 변경한다.

자동 실행 레지스트리 등록 코드로 인해 servise.exe가 자동 실행 등록되고 감염 PC가 부팅될 때마다 servise.exe가 동작한다.
이 모든 과정이 완료되면 Challenge 02.exe는 ShellExecuteA() API를 사용해서 servise.exe를 실행한다.

1.3 servise.exe 분석

1.3.1 Thread Code 실행

servise.exe는 CreateThread() API를 사용해서 0x00404A88 지점의 스레드 코드를 호출한다.
플래그 값인 CREATE_SUSPENDED로 인해 실제 호출은 ResumeThread()에서 이루어진다.
주요 악성행위는 모두 스레드 안에서 이루어지기 때문에 스레드 코드가 어떻게 동작하는지 파악하는 것이 중요.

1.3.2 Virtual Key 설정 변경

스레드를 호출하고 나면 특정 키의 설정을 변경해서 눌렀을 때 소리가 나게 한다.
GetAsyncKeyState()를 사용하면 키의 상태를 확인할 수 있다.
사용자가 특정 키를 누르면 PlaySoundA()가 호출되고 사운드가 발생한다. 다음은 VK_RETURN 키의 소리 설정을 보여준다.
JUMP 코드로 인해 실시간으로 실행된다.

1.3.3. Thread Code

1. logo.scr 파일 생성 및 화면 보호 설정 변경

servise.exe는 화면 보호 모드에서도 악생행위를 발생시키기 위해, '화면 보호 모드용'으로 logo.scr을 만든다.
logo.scr 파일은 servise.exe의 복제 파일로 "%WINDIR%"에 생성된다.

logo.scr 파일이 동작하기 위해서는 화면 보호 모드가 활성화되어야 하고 SystemParametersInfoA() API를 사용하면 보호 모드 및 활성 시간 설정을 할 수 있다.

마지막으로 화면 보호 모드에서 실행되는 파일을 logo.scr로 지정하면 설정 변경이 완료되는데 이때 "HKEY_CURRENT_USER\Control Panel\Desktop" 키의 SCANSAVE.EXE 값을 수정하면 된다.

2. XXX.scr 파일 생성

logo.scr 파일을 만들고 나면 "C:\WINDOWS\system32\drivers\Cache" 경로에 XXX.scr 파일을 만든다.
이 파일도 servise.exe의 복제본이다.

3. servise.exe 파일 외부 침입 보호

servise.exe는 LockFileEx() API를 사용해서 다른 스레드나 프로세스가 자신에게 접근하는 것을 막는다.

4. 분석 Tool 강제 종료

악성파일을 분석할 때 사용하는 Tool에 대한 무력화 기능도 있다.

procexp.exe를 찾아서 강제 종료시키는 코드로 문자열을 비교해서 타깃 프로세스를 찾고, TerminateProcess() API를 사용해서 강제 종료시킨다.
TerminateProcess() API의 인자로 들어가는 핸들 값은 OpenProcess() API를 호출해서 얻을 수 있다.
OpenProcess()를 호출할 때 필요한 PID 값은 PROCESSENTRY32 구조체의 th32ProcessID 멤버를 활용한다.

5. 특정 윈도우 강제 종료

FindWindow() API로 타깃 프로세스의 동작을 확인하고 핸들 값과 PID를 알아낸 뒤에 TerminateProcess()를 호출한다.

6. 시스템 설정 변경

레지스트리의 특정 값을 수정해서 시스템 설정을 바꾼다.
자기 보호 및 분석을 어렵게 하기 위한 동작이다.
다음은 "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" 키의 Hidden 값을 수정하는 과정이다.

이 외에도 다양한 값들이 변경된다.
다음은 보호된 운영체제 파일 숨기기 설정을 해제하는 과정이다.

다음은 파일 확장자 보이기에 대한 설정을 해제하는 과정이다.

다음은 윈도우 탐색기의 도구에서 폴더 옵션 항목을 비활성화하는 과정이다.

'1.3.3 Thread Code' 동작은 JUMP 코드로 인해 계속 반복된다.
그 결과 분석 Tool 무력화 및 시스템 설정 변경 등의 동작이 실시간으로 이루어진다.