USPS 위장 NETSUPPORT RAT 악성코드(2).pdf

이전 글 요약

1. USPS 우편 회사로 위장한 email 전송
2. 링크 클릭 -> 사전 준비해놓은 url로 유도하여 javascript, zip파일 다운
3. javascript 실행 시 -> php 파일 다운
4. php -> .zip 파일을 압축해제 하여 바이너리 파일 드랍

4. 악성 코드 분석#

php 스크립트는 dll(동적 라이브러리)와 exe(실행 파일) 파일을 생성한다
그 중 실행파일 presentationhost.exe를 분석해본다.

1) 파일 구조#

두 개의 동적 라이브러리를 import하고 있는 것을 확인할 수 있다 kernel32.dll, pcicl32.dll
kernel32.dll은 ExitProcess,GetCommandLineW 와 같이 프로세스의 실행, 종료와 관련된 부분을 맡고 있으므로 NSMClient32@8 API 가 속한 pcicl32.dll에 핵심적인 함수들이 있을 것으로 추측됨