내 컴퓨터속 진짜 악성코드 분석일기(updater.exe)

updater.exe (오케이마우스,튜브다운 다운로더)

 

5월달쯤부터인가 계속해서 위와 같은 프로그램이 떠가지고 어찌할바를 모르다가 최근에 배운 악성코드 분석을 실제로 적용해보자하는 생각으로 한번 이 놈 조져보자~~~ 라고 마음을 먹고 배운것을 써먹어보기로했다.

 

우선 내가 배운것 부터 차근차근 생각해보았다.

 

프로세스 분석

 

 

 

우선 이놈이 exe파일 이름이 무엇인지 파악해보려고 작업관리자를 켰다.

작업관리자를 키고선 똑같은 아이콘을 발견하고 updater.exe 라는놈이라는 정체를 밝혀냈다.

수업시간에 배웠던것처럼 역시 악성코드들은 윈도우프로그램처럼 위장하려고 이름을 저따구로해놓는다고한다.

역시나 그랬다. 아이콘도 무슨 업데이트하는중 표시처럼 생기긴했다.

 

 

우선 파일 위치를 열었다.

 

여기 숨어있었다.

 

그러면 파일위치는 알았고

 

여기로 들어가서 

 

여기로 이렇게 이동이되는데 이것을 우클릭해서

 

해당 서비스로 이동할수있다.

이제 여기서 서비스를 찾아서 중지시키면 이놈을 중지시킬수있다.

 

...

 

문제가 생겼다.

서비스로 이동을 해도 서비스가 무엇인지 뜨지를 않는다.

 

서비스가 안뜨는것은 왜일까? 나의 아주 조금만한 경험으로 추측을해봐야겠다.

 

1. 서비스로 작동하는것이 아닐수도있다. 예를들면 다른방식으로 작동할수도있다.

2. 서비스를 숨길수가있다. 

3. 서비스를 숨기지는않지만 작업관리자에서 서비스로 이동을 했을때 검색을 못하게 했을수도 있다.

 

과연 이 세가지중에 무엇이 정답일까?

 

Virus Total

 

나는 백신프로그램으로 Avast anti virus를 사용한다. 그런데 왜 이 악성코드는 검색을 못하는것일까? 최근에 나는 수업에서 Virustotal이라는곳을 처음알았다. 여러 백신회사에서 하나의 프로그램에대해 결과를 보여주는것인데 세부정보는 회사에서 큰 금액을 지불해야할만큼 유료지만 결과값을 보는것은 무료이기 때문에 우선 이곳에다가 해당 updater.exe를 올려보기로했다.

 

 

 

69개의 엔진중에 10개의 엔진에서 느낌표와 함께 악성코드의 가능성을 알려주었다.

69개중에 10개만 검사한거라면 많이 피해갔다고 볼수있는것일까?

사실나도 바이러스토탈을 처음 사용해보는거라서 잘은 모른다. 그렇지만 악성코드인것은 확실한다.

 

다음날

 

아침에 일어나서 다시 virustotal에 들어갔다.

그런데 이게 무슨일인지 다음과 같이 결과창이 바뀌었다.

 

 

숫자를 보니 3개의 검사도구가 추가되었고 3개는 기존에 있던것에서 추가된것같았다.

아마도 바이러스토탈에 올리면 지속적으로 검사를 하는건지 일정시간이 지나면 재검사를 하는건지

새로운도구가 추가될때 바이러스라고 인식되면 다른것들도 또 검사를 하는것인지 모르겠지만

아니면 어제 내가 검사결과가 완벽하게 뜨지 않았던것인지 모르지만 

여하튼 16개나 검출됬으니 어제 생각한것보다 심각도가 더 높아졌다고 볼수있다.

 

그리고 더 확실해진것이있다.

어제 결과창에서는 

 

항목으로 DETECTION, DETAIL, COMMUNITY만 확인할수있었지만

현재는 RELATIONS, BEHAVIOR가 추가되어서 총 5개의 항목을 볼수있다.

 

이제 각 항목별을 보면서 이놈이 어떤놈인지 확인해보자

 

DETECTION

이곳은 어떤 보안엔진이 검사했는지 그리고 그 결과가 무엇인지 그 결과에 나온 판정 바이러스나 악성코드명이 무엇인지를 보는곳이다.

 

DETAILS

파일에 관한 여러 정보들을 볼수있다.어떤 dll이 들어가있는지부터 메타데이터 분석도 들어간것같다.

근데 이부분을 봐도 머가먼지 모르겠다.

 

이 dll이 imports되었다는것이 이런 dll이 위험하다는것인지 그냥 dll이 이런것이 포함되었다는것인지 모르겠다.

우선 한번 + 버튼을 눌러서 열어봐서 확인해봐야겠다.

 

+ 는 해당 dll의 기능들을 보여주는것같다. Reg 는 레지스트리뜻이고 delete, create 등이 써있는것이 레지관련조작 dll인것같다.

 

 

개발경험이 대학생수준이기때문에 gdi32.dll 이 무엇인지는 잘모르겠지만 중요한건 아래 기능조차도 무엇인지 잘모르겠다. Object? DC? Brush? BitBIt? 도대체 무슨말인지 모르겠다

 

하지만 나에게는 구글이있다. 안배웠다고 당연히 모를수는 없는것이다.

 

위키 백과에 나와있다.

윈도우 라이브러리이며 디스플레이 관련된것이라고 확인할수있다.

 

이런식으로 전부 검색을 하거나 추측을 통해서 나온 dll를 정리해보았다.

 

ADVAPI32.dll => 레지스트리관련 라이브러리

GDI32.dll      => 디스플레이 관련( 윈도우 라이브러리 )

KERNEL32.dll => 프로세스 관련( 윈도우 라이브러리 )

USER32.dll     => GUI를 구현을 위한것과 관련( 윈도우 라이브러리 )

WININET.dll   => An HTTP client library which also takes into account system-wide Proxy settings (wininet.dll)

HTTP 클라이언트 라이브러리인데 프록시 세팅과 관련 (인터넷관련) 라이브러리 추정

OLEAUT32.dll  => 마이크로소프트 OLE 기술관련 라이브러라는데 OLE가 무엇인지를 모르겠다.

OLE32.dll       

=>  

https://redscreen.tistory.com/tag/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C

'악성코드' 태그의 글 목록

이 분 블로그에서 악성코드 분석중에 OLE32.dll과 OLEAUT32.dll을 확인하는것이나온다.

COM이 라는용어를 알아야하는데 (나는 자세히 모르지만)

COM기능을 이용하여 악성코드 url을 호출? 하는것같다.

우선 일단 넘어가도록 하자.

 

 

SHELL32.dll    

=>

shell32.dll 은 정확히는 나오지않고 여러가지 검색을 해보니 다음과같이 정리했다.

shell32.dll은 

1. 윈도우 아이콘이 저장되있다.

2. 키보드랑 마우스 입력을 저장할수있다.

3. 마우스 오른쪽 버튼의 기능을 담당한다.

 

여기서 file.net이라는곳에서 다음과 같은 유저가 코멘트해놓은것으로 다음과같은 기능이있다는것을 알수있었다.

 

누구는 키로그웜이라고 하고, 이것이 위험하다고 하는인간들은 뇌를 성장시킬필요있다고 하는둥 여러가지 의견이있다.

우선 위의 기능들을 포함하면서 internet explorer에서도 쓴다고한다. 

 

 

대충 이정도까지 파악을 했다. 

우선 나쁘게 쓸수있는 기능들이 몇몇은 포함되어있는 dll으로 추정이된다.

 

 

RELATIONS

릴레이션항목은 무엇을 하는곳일까.

(그래프를 누르면 유료회원만 되는것인지 로그인하라고한다. 일단 나는 저정도면충분하다. 어짜피 초보라서 볼줄모른다)

관련성을 요약해주는것같은데 이상하게 Contacted URLs에 특정 url이 보인다.

jjanggame.co.kr 과 연관되어있다고? 이게 무슨말일까

그래프를 보면은 urls과 1개 ips1개 domains 1개 이렇게 하나씩 전화아이콘으로 콘텍트(연락)을 취한다? 라는뜻인가?

어떤것이 연결되어있다고 추측해볼수있다.

 

URL도 virustotal에서 분석이 가능한가보다

그래서 해당을 들어가보니 해당 url은 66개중에 2개가 의심스럽다고 결과를 내놓았다.

음... 일단 넘어가보자

 

BEHAVIOR

이곳은 말그대로 어떤 행동을 하는지 요약해주는것인것같다.

 

HTTP Requests로 아까 RELATION 항목에서본 

짱게임/플러그인/인포.php 파일로 연결을 요청한다는것을 확인할수있다.

 

아래 File System Actions는 무엇일까?

File System Actions는 구글에 쳐보니까 url? 브라우저? 이 뜨는걸보니 인터넷연결 관련된것같다.

저런 File System에서 명령을 실행한단는 의미로 추측해도 될까?

 

 

RASMAN? 은 무엇일까?

RasPbFile

CUPD

RasPbFile 

 

프로세스 서비스 액션? 서비스를 Opened하는것이 RASMAN이라는것일까?

매커니즘과 신호? 뮤텍스는 내가 알기론 어떤 권한인것으로 알고있는데 (아닐수도)

 

머리가아프다.

 

너무 알아야되는정보들이 많다. 하지만 중요한것은 저놈이 나쁜놈이라는 사실이다.

 

 

 

우선 여기 짱게임을 접속해봤는데 예전 오락식 게임이나 플래쉬게임을 할수있는곳이다.

근데 어딘가모르게 엉청 허접하고 오래된 사이트같다.

 

VM따위는 깔려있지 않는 나의 컴퓨터를 마루타삼아서 그냥 해당 url에 들어가보기로했다.

이상한 문자가 쭉~~~~ 써있는걸 볼수있다.

 

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

 

 

무슨 암호인가?... 해쉬값?인가... 아니면 url 뒤에 붙는것같기도하구.. 파일정보는 아닌것같구..

 

어렵다..

시간도 부족해서 빨리빨리 분석하던거라서 마무리가 이렇게 끝나는것이 아쉽다. 

 

대충 내가 내린결론은

updater.exe는 

짱게임이라는곳에서 https과 네트워크가 형성되어있고 무슨 값을 받아와서

updater.exe를 실행시키는것이 아닌가싶다.

아니라면 updater.exe가 해당 url에 요청하면 거기서 광고 내용을 받아와서 주는것일수도 있다.

여하튼 간에 updater.exe 는 짱게임이랑 연관되어있다는 사실 이것하나만으로 아주 큰 정보를 얻은것이 아닐까 싶다.

updater.exe는 매일 매일 뜨는것이아니고 가끔 한번씩 뜨는것이 일주일?에 한번씩 떳다.

아직 보안공부를 시작한지 얼마안되서 dll 동적분석도 하던데 그것은 해석하는면에서 부족하기 때문에 경험을 더 쌓아야될것같고 dll과 관련되어서 아는것이 없기 때문에 더욱더 많은 정보를 취해야하는것은 분명하다.

 

우선 보안공부는 updater.exe 이놈을 실전경험 쌓기로 시작해야겠다.

 

virustotal과 구글링과 지금까지 배운지식으로 자세히 차근차근 분석해봐야겠다.