1581,

19/80

havu

http://havu.tistory.com

한물간 악성코드분석

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1909 [복사]

-----------------------------------------------------------netbus-------------------------------------------------------

///////////////////////////////////////////////////////
patch.exe
///////////////////////////////////////////////////////

각종 라이브러리를 로드함

C:\WINDIOWS\patch.ini 파일을 생성

C:\WINDIOWS\patch.exe 파일을 생성(같은파일)

C:\WINDOWS\KeyHook.dll 파일을 생성
-> 원래 존재 하지 않는 라이브러리로 넷버스 서버 실행시에 생성된다.

12345,12346 번 포트를 이용해 통신함

HKLM\System\CurrentControlSet\Control\SafeBoot\Option

위 사항을  변경하는 것으로 보아 안전모드 부팅을 막는 것으로 보임

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\patch

->시작프로그램에 등록

///////////////////////////////////////////////////////

-----------------------------------------------------------beast--------------------------------------------------------
**소닉게임 파일과 beast 서버파일을 bind 한 경우입니다.

///////////////////////////////////////////////////////

sonic3k (server + sonic3k)

///////////////////////////////////////////////////////

process create 를 통해

C:\DOCUME~1\admin1\LOCALS~1\Temp\server.exe

C:\DOCUME~1\admin1\LOCALS~1\Temp\SONIC3K.EXE

위 두개 파일들을 생성한다.

///////////////////////////////////////////////////////

C:\DOCUME~1\admin1\LOCALS~1\Temp\SONIC3K.EXE

//////////////////////////////////////////////////////

bind 시킨 서버파일이 분리된 정상적인 파일로 보임

//////////////////////////////////////////////////////

C:\DOCUME~1\admin1\LOCALS~1\Temp\server.exe

//////////////////////////////////////////////////////

동적 라이브러리를 로드하고
-> 무결성 검사결과 라이브러리는 건들지 않음

svchost.exe를 C:\WINDOWS 폴더에 생성

명령프롬포트(cmd)를 통해 자기자신을 삭제함

//////////////////////////////////////////////////////

C:\WINDOWS\svchost.exe

//////////////////////////////////////////////////////

mssock.dll 라이브러리를 통해 네트워크통신

msgdho.com 파일을 시작프로그램에 등록
-> ms****.com (**** 부분은 랜덤)
msrlec.com 파일을 시작프로그램에 등록

/* process monitor 의 Boot Logging 기능
   (Options - Enable boot logging) 을 이용해
   부팅시 로그를 남겨준다. 그리고 재부팅을 해서
   저장을 하고 실행을 해서 저장 후 분석 시작*/

//////////////////////////////////////////////////////

msgdho.com

//////////////////////////////////////////////////////

부팅로그를 분석하여 msgdho.com 를 필터

재 부팅시 실행이되지않는 svchost.exe 를 실행시칸다

///////////////////////////////////////////////////////

msrlec.com

///////////////////////////////////////////////////////

네트워크 통신에 필요한 라이브러리를 로드함

ws2_32.dll
mswsock.dll
wsock.dll

msgdho.com 가 정상적인 실행이 아닐경우 다시실행시켜줌

사용 툴 : 프익,프모

Hit : 7476 Date : 2011/12/26 06:48


BrokenPipe	와 넷버스도 꽤 복잡하게 설계된툴이였군요 잘봤습니다	2011/12/27
jsw2604	언제 한번 소켓 프로그래밍 배워서 만들어봐야겠네요.	2011/12/28
havu	BrokenPipe // Keyhook.dll 을 살펴보니 키로깅 기능을 하는것이더라구요. WM_MOUSE,WM_KEY 를 이용해 나온 인자를 patch.exe 핸들로 보내고, patch.exe 는 해커한테 보내구요	2011/12/28
craft	소스가 있으신건가요??	2011/12/29
havu	craft // 소스없습니다. 리버싱/악성코드분석 을 통해 알아낸것들이랍니다^^;	2011/12/31
craft	아 그렇쿤요~	2012/01/06
seon0823	대단하심... ㅎㅎ	2012/01/17
micro40	나도 언젠간 꼭....	2012/05/27