- Temp 폴더에서 의심스러운 실행 파일을 실행함으로써 시작되어 추가적인 파일 생성과 시스템 서비스 및 프로세스 조작이 이루어지는 일련의 사건
- 초기 실행 파일이 자식 프로세스를 생성하면서 시작
- 일부는 네트워크 작업과 특정 서비스를 중지하는 관련 명령을 실행
- 특정 서비스를 삭제하고 프로세스를 종료하는 명령
MALICIOUS
- Drops the executable file immediately after the start
- a605b2ad567ceab740ec847beefec7140a65e91651d739940c0ca51c02430174.exe (PID: 3912)
- a605b2ad567ceab740ec847beefec7140a65e91651d739940c0ca51c02430174.exe (PID: 6388)
- a605b2ad567ceab740ec847beefec7140a65e91651d739940c0ca51c02430174.tmp (PID: 6456)
- Starts NET.EXE for service management
- cmd.exe (PID: 6416)
- net.exe (PID: 6308)
- net.exe (PID: 2308)
- cmd.exe (PID: 5888)
- net.exe (PID: 6484)
- cmd.exe (PID: 6328)
- net.exe (PID: 6104)
- cmd.exe (PID: 6304)
Start
Processes
WriteFile
start 함수는 반환값이 없으며, 실행이 완료된 후에도 호출자에게 제어를 반환하지 않는다는 것을 나타냅니다. 이러한 함수는 주로 프로그램의 초기화 루틴, 종료 루틴, 또는 무한 루프를 포함하는 코드에서 사용됩니다.
시작함수
Winmain(): Windows 기반 애플리케이션에 대한 사용자가 제공하는 진입점
💡 WinMain -애플리케이션 초기화, 기본 창 표시, 애플리케이션 실행의 나머지 부분에 대한 최상위 제어 구조인 메시지 검색 및 디스패치 루프를 입력해야 함.
CreateFileA
x64dbg에서 해당 주소 입력 후 함수 따라가기
cryptencrypt
ACL 내의 ACE 값을 설정한다.
700초라는 시간을 지연하여 Anti Sandbox 기능을 구현했다.
자신을 의미하는 문자열을 메모리에 할당한다.
SIMD 명령어를 이용해 메모리를 복사하고 explorer.exe를 이용해 코드 인젝션을 수행한다. 이후 COM Elevation 모니커를 이용해 권한 상승을 수행한다.
'4-2. 2024-1 심화 스터디 > 윈도우 악성코드분석' 카테고리의 다른 글
| [악성코드 코드분석] (0) | 2024.05.10 |
|---|---|
| [악성코드 매뉴얼 분석] (0) | 2024.04.05 |
| [악성코드 정적 및 동적 분석] (0) | 2024.03.28 |
| [악성코드 정적 분석] (0) | 2024.03.22 |
| [악성코드 분석 개요] (0) | 2024.03.15 |
