업데이트 : 2020 년 10 월 22 일

1. CSS2008에서 CFP 인 척하는 바이러스 이메일 표본의 분석 결과

우리는 또한 HIRT와 관련된 사고 응답의 기록을 유지하는 것이 CSIRT의 역할이라고 생각합니다. 이 페이지는 사고 응답 레코드를 보관하기위한 것입니다.
[출처] https://www.sdl.hitachi.co.jp/csec/css2008-cfp-secinfo.html

NTT 정보 배포 플랫폼 연구소
Aoki Kazufumi, Ito Mitsuyoshi
2008.10.28

1. PDF 시노 스 토토사이트의 악성 코드 추출
2. 컷 아웃 맬웨어의 기능 (csrse.exe)
3. 컷 아웃 맬웨어의 기능 (lightmidi.exe)
4. 맬웨어 시작 후 동작

1. PDF 시노 스 토토사이트에서의 맬웨어 추출

가짜 CSS2008-CFP.PDF는 PDF 데이터 형식 영역과 인코딩 된 이진 영역의 두 부분으로 구성됩니다. PDF 데이터 형식 영역에서Zlib로 압축 된 JavaScript 코드가있는 경우 가짜 CSS2008-CFP.PDF를 열면이 부분이로드되고 공격이 발생합니다. 분석은이 압축 영역을 압축하고 Exploit Code (그림 1).

그림 1 : 가짜 PDF 시노 스 토토사이트 구성 PDF 시노 스 토토사이트은 일반 PDF 형식이며

Adobe Reader 등에 나타나는 익스플로잇 코드CVE-2007-5659(JVNDB-2008-0010955103_5181

• 난독 화 된 쉘 코드 데이터
• 버전 버전 응용 프로그램 대상을 확인하고 각 버전에 대한 페이로드 생성 부품
• 생성 한 공격 페이로드로 실제로 공격하는 부분

(그림 2). 여기서 쉘 코드는 공격자가 공격을 수행 할 때 의도하는 동작에 영향을 미치기 위해 삽입되는 비교적 작은 크기 코드입니다.

그림 2 : JavaScript로 작성된 코드 익스플로잇 ExploitCode 먼저 응용 프로그램 버전을 확인합니다. 그 후, 각 버전에 대한 공격 페이로드가 생성되며 Adobe Reader 등의 CollectemailInfo의 스택 버퍼 오버 플로우 취약성에 대한 공격이 수행됩니다. 쉘 코드는 난독 화되므로 JavaScript 코드를 보면 동작을 이해할 수 없습니다.

Shellcode Decode xor를 사용하여 PDF 시노 스 토토사이트 뒤에 위치한 이진 영역. 디코딩 된 영역에는 Windows 실행 시노 스 토토사이트 및 어셈블리 코드가 있으며 실행 시노 스 토토사이트을 잘라 내고 실행합니다 (그림 3?). Windows 실행 시노 스 토토사이트 부품 (맬웨어)을 자르고 실행하는 코드는 c : \ windows \ temp \ csrse.exe로 복사되고 실행되었습니다 (그림 3?).

그림 3 : PDF 시노 스 토토사이트에서의 맬웨어 추출 ?? 쉘 코드 실행 전 ? 쉘 코드는 PDF 시노 스 토토사이트의 뒷면을 디코딩합니다. 디코딩 된 영역 뒤에는 Windows 실행 시노 스 토토사이트과 설치를위한 코드가 있습니다. ?? 실행 시노 스 토토사이트 부분은 c : \ windows \ temp \ csrse.exe에 복사 한 다음 실행됩니다.

2. 컷 맬웨어의 기능 (csrse.exe)

PDF 파일에서 추출한 "c : \ windows \ temp \ csrse.exe"파일은 두 가지 작업을 수행합니다.

• CSS2008 CFP PDF 시노 스 토토사이트 (C : \ Windows \ Temp \ 1.pdf) 및 표시
• Windows 실행 시노 스 토토사이트 추출 및 실행 (C : \ Windows \ temp \ lightmidi.exe)

CFP PDF 파일을 볼 때 Acrobat Reader 프로세스가 삭제됩니다. 또한 현재 표시된 PDF 파일은 "C : \ Windows \ Temp \ 1.pdf"이며 이메일에 첨부 된 "CSS2008-cfp.pdf"파일 이름과 다릅니다.

그림 4 : csrse.exe 시노 스 토토사이트 구조 CFP PDF 파일을 보면 더 많은 맬웨어가 설치됩니다. 원본과 달리 CFP 파일 이름은 "1.pdf"로 고정됩니다.

3. 컷 아웃 맬웨어의 기능 (lightmidi.exe)

c : \ windows \ temp \ csrse.exe에서 추출 된 맬웨어 "c : \ windows \ temp \ lightmidi.exe"는 다음 특성이 있습니다.

• 다양한 anti-RCE (Reverse Code Engineering) 대책과 함께 패커 (EXE 시노 스 토토사이트 등을 압축 할 수있는 방법)를 사용한 포장
• SVCHOST에 등록 서비스 (외부 호스트에서 맬웨어 다운로드)

~ 패커의 anti-rce 예제 ~

일부 맬웨어에는 분석하기 어려운 방법 (anti-Rce)이 있습니다. 이번에 분석 된 맬웨어의 경우, 패커가 사용되었으며,이 패커는 디버거로 분해 및 분석하는 기술을 갖추고 있습니다.

● 해체 대책

맬웨어의 정적 분석을 수행 할 때 프로그램 코드가 분해됩니다. 맬웨어 패커는 분해되거나 해체 된 코드를 읽기 어렵게 만드는 몇 가지 조치를 제공했습니다. 예는 아래에 나와 있습니다 (그림 5).

• 정상적인 분해 결과의 출력을 방지하기 위해 지시의 중간으로 점프
• 분기가 필요하지 않은 점프 명령을 삽입하여 코드를 읽기 어렵게 만듭니다

그림 5 : Packer에 의해 내성 조립 방지의 예 ?? 지침의 중간에 점프 명령을 삽입하면 정상 분해가 방지됩니다. ?? 지 분기 할 필요가없는 위치에 점프 명령이 삽입되어 코드를 읽기가 어렵습니다.

● 디버거 대책

맬웨어 분석에서ollydbg와 같은 디버거를 사용한 동적 분석 등은 효과적인 방법입니다. 이 맬웨어의 패커는 디버거로 분석을 어렵게 만드는 조치를 취했습니다. 맬웨어가 디버거를 감지하면 프로세스가 종료되므로 이러한 디버거 대책을 피하지 않으면 분석을 계속할 수 없습니다. 이것의 예는 다음과 같습니다.

• isdebuggerpresent ()
• findwindowa ()
• 예외 처리기를 사용한 int3 또는 0 디비전 및 디버거 감지로 예외를 발행
• API에 호출하기 전에 API 항목에 소프트웨어 브레이크 포인트 (0XCC)가 있는지 조사합니다
• zwqueryInformationProcess ()를 사용한 디버거 감지 ()

~ svchost ~

lightmidi.exe가 실행되면 "c : \ windows \ system32 \ wmxdmod.dll"이라는 파일이 생성됩니다. 이 파일을 사용하여 Svchost는 다음과 같은 서비스를 시작합니다.

◆ 서비스 이름

WNMMD

◆ 디스플레이 이름

Windows Net Management Mode 드라이버 프레임 워크

◆ 설명

Windows Net Management Mode 드라이버를 활성화합니다. 이 서비스가 비활성화되면 명시 적으로 의존하는 서비스가 시작되지 않습니다.

◆ Service DLL

%SystemRoot%\ System32 \ wmxdmod.dll

이 서비스는 인터넷의 호스트에서 시노 스 토토사이트을 다운로드하고 실행하는 것입니다. 시노 스 토토사이트은 다음 단계로 다운로드됩니다.

1. 다운로드 http://xx.xxxx.net/mydn/index.txt
2. (다운로드 된 시노 스 토토사이트의 첫 줄에 나열된 값) x 2 초 수면
3. 다운로드 http://xx.xxxx.net/mydn/index.txt 다시
4. http://xx.xxxx.net/mydn/

4. 맬웨어 시작 후 행동

위의 요약 및 가짜 CSS2008-cfp.pdf를 실행 한 후 작동의 개요를 표시합니다.

1. 가짜 CSS2008-cfp.pdf 첨부 된 이메일 받기 (그림 6 : 1).
2. 첨부 시노 스 토토사이트을 실행하면 CFP가 화면에 표시됩니다. 동시에 레지스트리가 수정되고 다운로드 서비스가 등록됩니다 (그림 6 : 2).
3. xx.xxxx.net에서 http를 통해 시노 스 토토사이트 가져 오기 (그림 6 : 3).
4. 얻은 시노 스 토토사이트에 나열된 값을 기준으로 일정 시간을 기다립니다 (그림 7 : 4).
5. 지정된 대기 시간이 경과 한 후 xx.xxxx.net에서 시노 스 토토사이트을 다시 검색합니다 (그림 7 : 5).
6. xx.xxxx.net/mydn/에서 얻은 두 번째 줄과 두 번째 시노 스 토토사이트의 후속 줄에 나열된 시노 스 토토사이트을 검색합니다. 여러 시노 스 토토사이트 이름이 나열되면 모두 다운로드하십시오 (그림 8 : 6).
7. 다운로드 된 파일 실행 (다운로드 파일에 확장자 ".txt"가있는 경우 디코딩 후 실행됩니다) (그림 8 : 7).

그림 6 : 맬웨어 실행 후 동작? 1. 가짜 CSS2008-CFP.PDF가 첨부 된 이메일을 받았습니다. 2. 첨부 시노 스 토토사이트을 실행하면 CFP가 화면에 표시됩니다. 동시에 레지스트리가 수정되고 다운로드를 수행하는 서비스가 등록됩니다. 3. xx.xxxx.net에서 http를 통해 시노 스 토토사이트을 가져옵니다.

그림 7 : 맬웨어 실행 후 동작? 4. 획득 된 시노 스 토토사이트에 나열된 값을 기준으로 일정 시간을 기다립니다. 5. 지정된 대기 시간이 경과 한 후 시노 스 토토사이트은 xx.xxxx.net에서 다시 검색됩니다.

그림 8 : 맬웨어 실행 후 동작? 6. xx.xxxx.net/mydn/에서 두 번째 줄과 두 번째 시노 스 토토사이트의 후속 줄에 나열된 시노 스 토토사이트을 얻습니다. 여러 시노 스 토토사이트 이름이 나열되면 모두 다운로드하십시오. 7. 다운로드 된 파일을 실행합니다 (다운로드 된 파일에 확장자 ".txt"가있는 경우 디코딩 후 실행됩니다).

2. 히스토리 업데이트

2020 년 10 월 22 일

• 이 페이지를 새로 작성하고 게시했습니다.

---

책임 : Terada, Onishi