일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 최순실 악성코드
- TCP Socket
- c# xml 파싱
- Hover Action
- Universal ShellCode
- TCP Server/Client
- 한글 악성코드
- hex2bin
- vbscript
- UDP Server/Client
- Mouse Over
- PowerShell
- c# 파일명 변경
- 파이썬
- Python GetProcAddress
- VMware
- 파워쉘
- 악성코드
- Python Win32 API
- 파이썬 외부프로그램 실행
- Python LoadLibrary
- c# 디렉토리 파일 조회
- c# 외부 프로그램 실행
- anti vm
- pdf 악성코드
- FTP Server/Client
- PPT Malware
- c# 파일 IO
- c# 프로그램 종료
- c# 파일 읽기쓰기
- Today
- Total
그냥저냥
[Issue, PE Malware] 3.20 악성코드 분석 본문
● 동작 요약
● 중복실행 방지를 위해 CreateFileMapping/OpenFileMapping API 이용
- 특정 식별자 "JO840112-CRAS8468-11150923-PCI8273V" 를 가진 파일의 존재 여부를 통해 중복 실행 체크
● 백신 솔루션 존재 여부 확인
- 아래 경로에 특정 파일이 존재하는지 체크하여 백신 솔루션의 설치 여부 확인
- 경로 : C:\Windows\Temp\~v3.log
● 백신 프로세스 강제 종료
- 명령어 #1 : taskkill /F /IM pasvc.exe
- 명령어 #2 : taskkill /F /IM clisvc.exe
* /F 옵션 : 명시된 프로세스 강제 종료
* /IM 옵션 : 종료할 프로세스의 이미지 이름 명시
<종료할 프로세스 대상>
● 운영체제 정보 조회
● MBR 로드 및 백업
- 드라이브의 첫 섹터 (MBR) 을 읽어들임
- 대상 드라이브 : \\.\PhysicalDrive0
- 파라미터 : FILE_SHARE_READ | FILE_SHARE_WRITE , OPEN_EXISTING
- 파일포인터 첫 지점으로 이동
- MBR 백업
● 덮어씌울 문자열 설정
- 문자열 : "PRINCPES"
● VBR / MBR 변조
- 읽어들인 MBR의 Partition Table을 참조하여 VBR 위치로 이동 (SetFilePoiter)
- SetFilePointer의 두번째 인자 : 0x7E00 = 0x3F(VBR 섹터 위치, 63) * 512 Bytes
- VBR 변조 ("PRINCPES" 문자열로 덮어씌움)
<VBR 변조 전> <VBR 변조 후>
<MBR 변조 전> <MBR 변조 후>
● 시스템 강제 재부팅
- 강제종료 명령을 실행하기 전에 Sleep 함수를 이용하여 300초 동안 대기
- 명령어 : shutdown -r -t 0
* -r 옵션 : 시스템 종료 후 재부팅
* -t 0 옵션 : 시스템 종료의 만료 시간을 0초로 설정 (즉시 종료)
● 디스크 정보 조회 및 임의의 영역 덮어씌움
- C:\ 의 임의의 영역을 덮어씌우기 위해 디스크 정보 조회
- 섹터 및 클러스터 계산을 통해 덮의씌울 영역 지정
- 특정 연산에 의해 일정한 간격마다 200개의 섹터씩 "PRINCIPES" 문자열로 덮어씌움
'Malware' 카테고리의 다른 글
[PDF Malware] PDF 악성코드 분석 (Obfuscated JavaScript + ShellCode) (0) | 2016.08.12 |
---|---|
[PDF Malware] PDF 악성코드 분석 (JavaScript + EmbededFile) (0) | 2016.08.10 |
[HWP Malware] HWP_ParaText 취약점을 이용한 한글문서 분석 (0) | 2016.08.05 |
[Issue, XLS Malware] BlackEnergy 3 (우크라이나 정전 관련) (0) | 2016.08.03 |
[Issue, PE Malware] Sony Pictuires 해킹 악성코드 분석 (0) | 2016.07.31 |