3줄 요약
SMAgent프로그램으로 위장하여 실행 유도- proxy 관련 레지스트리 수정
- 특정 사이트에 접속하여 악성코드 다운
분석 파일#
- 파일: [ link ]
- 비밀번호: malware
- 주의: 격리된 환경에서만 실행
발퀄 및 건너짚기가 남발하는 문서임니당
자동화 분석 시스템이 잘 되어있다길래 한번 써보자!
1. 정적 분석#
(1) 프로그램 정보#
- 형식: 윈도우 32bit
PE포맷 실행파일 - 오디오 설정 및 관리를 담당하는
SoundMAX service agent라는 프로그램의 정보를 가지고 있음
=> 위장하여 실행 유도 또는 기존 프로그램에 내부를 변경했을 가능성
(2) IAT 테이블 확인#
ADVAPI32.dll, MSVCRT.dll, Secur32.dll, urlmon.dll, WININET.dll 등을 import 하여 사용중
- ADVAPI32.dll:
StartServiceA,OpenSCManagerA,OpenServiceA등 서비스 관련 API - MSVCRT.dll: 주로 HTTP을 이용한 통신
- Secur32.dll: 접속한 주소에서 파일을 다운로드하는
URLDownloadToFileA호출
=> 사용자의 컴퓨터에 서비스로 등록되어, 인터넷을 통해 외부에서 특정 파일을 다운로드 하려는 것으로 보임
(3) string 정보#
많은 것을 확인 할 순 없었지만, flash.cnndaily.com이라는 URL 확인 가능
=> 현재 사용되고 있지 않아 확인은 불가능
=> CNN에서 해당 주소를 사용하고 있지 않은 것으로 보아 악성코드 유포용 사이트일 가능성 배제할 수 없음
2. 동적 분석#
해당 프로그램을 실행하면, 서비스 관리 프로그램을 열어 특정 서비스 오픈
RASMAN이라는 서비스로, 원격 액세스, VPN 관련 서비스에 접근
=> 이를 통해 proxy 관련 레지스트리(프록시 서버, 바이패스 값) 등을 수정
=> 목표 사이트에 접근 하기 위한 사전 준비로 보임
🗪 댓글