�ݺ�ߣ

으으리 리버싱 악성코드 �ѫ��
김˳�석(kimgudtjr68@gmail.com)
Home page : https://euripy.github.io/#!index.md

튜토리얼
Assembley �ѫ�� 시에
자주 등장하는
코드들에 대해 확인 해보자.

자주 등장하는 코드
• 함수 호출1 – 프로그래머가 만든 함수
• 함수 호출2 – 미리 만들어진 Library 함수
• 반복문
• 조건 분기문

함수 호출 1 – 프로그래머 제작 함수
위의 함수의 경우 Func1(arg1) 와 같은 ˳�태 인 것을 알 수 있다.
함수 명이 보이지 않는 경우 해당 심볼이 없거나 프로그래머가 제작한 함수이다.
�ѫ�� 시에 그냥 넘어가면 안 되는 함수 이기도 하다.
※ 정적으로 컴파일 된 라이브러리 일 수도 있다.
( IDA 와 같은 디버거로 보게 되면 보이는 경우도 있다. )

함수 호출 2 – 미리 만들어진 Libraray
위의 함수의 경우는
CreateFileA(FileName,0x120089,0,NULL,OPEN_EXISTING,0,NULL)
와 같이 번역 할 수 있다. 함수호출 시에 함수 이름이 보이며
Kernel32 라는 모듈내부에 이미 만들어진 함수 임을 알 수 있다.
이런 함수는 내부로 들어가서 �ѫ�� 할 필요 없다.

반복문
위의 함수에서 JMP (Address) 와 같이 JMP하여 도착하는 코드의 위치가
위쪽을 향하는 것을 볼 수 있다. 이런 것은 반복적으로 사용하는 반복문에서
많이 볼 수 있다.

조건 분기문
위와 같이 TEST 혹은 CMP와 같은 명령어 연산 이후에 조건을 보고
JE 명령어로 분기하는 것을 볼 수 있다.
특히 TEST EAX, EAX는 자주 등장하는 명령어 이며
If eax == 0 조건이면 JE 다음 주소로 점프하는 경우이다.
해당 값이 0인지 아닌지 검사할 때 자주 등장한다.

�ѫ�� 방법
정적 �ѫ��
동적 �ѫ��

정적 �ѫ��
위와 같이 HXD나 PEVIEW와 같이 해당 프로그램을 실행하지 않고
파일상에 존재하는 RAW DATA 만으로 해당 실행프로그램을 �ѫ��하는 경우이다.

동적 �ѫ��
Immunity Debugger 혹은 OLLYDBG 와 같은 메모리에 프로그램을
로드하고 명령어를 실행하면서 �ѫ��하거나
TcpView , ProcessExplorer와 같이 직접 프로그램을 동작시키고
해당 행위들을 모니터링 하는 것들이다.

OEP
프로그램의 시작지점으로 Assembly으로 표현하면 아래와 같은 코드로 찾을 수 있다.

ImageBase Address
메모리에 각 모듈들이 Load된 주소들을 볼 수 있다.
각 모듈이 로드 된 시작 주소를 ImageBase Address 라고 한다.
ImageBase Address는 아래와 같은 주소로 구하거나
로드 할 수 있다.

ImageBase Address2
각 모듈들의 상세 구조

악성코드의 패턴 example
레지스트리 접근
파일 Drop
C&C 요청

악성코드 자동시작을 위한
레지스트리 생성
RegCreateKeyExA 함수로 SoftwareMicrosoftWindowsCurrentVersionRun

실행파일에 포함된 악성파일 Drop
자신의 실행파일 영역 중 Resource 영역에 Drop 할 실행파일을 숨기고
해당 실행 파일을 찾아서 Drop 하기 위해 FindResource 함수를 호출하는 것을
볼 수 있다.

공격자가 설정한 서버에 접속하여
악성코드 행위 결정
패킷의 내용을 보면 GET /~ 으로 시작하는 내용이 있는 것을 볼 수 있다.
이것은 해당 공격자 서버에 접속하여 악성코드가 어떤 행위를 할 것인지
혹은 어느 쪽으로 접속을 할 것인지에 대한 정보를 얻어 행동할 수 있다.

실습
• 준비된 악성코드 Sample 2개를 �ѫ�� 해보자.

�ݺ�ߣ

으리리버싱시즌3

Recommended

More Related Content

What's hot (17)

Similar to 으리리버싱시즌3 (20)

으리리버싱시즌3