1. 정적분석

VirusTotal

  • 해당 파일을 바이러스 토탈에 검색결과 72개 중 52개의 엔진에서 악성 파일로 탐지했습니다.
  • Threat Categories 탭을 확인해보면 트로이 목마, 드웨어, 다운로더 계열의 악성코드임을 예상해볼 수 있습니다.

 

Exeinfo PE, PEiD

  • Exeinfo PE, PEiD로 파일의 패킹 여부를 확인하였고 패킹이 되어있지 않은 것을 확인했습니다.
  • 또한 Microsoft Visual C++로 컴파일 된 것을 확인할 수 있었습니다.

 

Bintext

  • Kernel32.dll이 보이므로 하드웨어와 리소스에 대한 접근 동작이 있을 수 있다는 것을 확인할 수 있습니다.

 

  • USER32.dll이 보이므로 사용자 인터페이스 조작 관련 동작이 있을 수 있다는 것을 확인할 수 있습니다.

 

  • Advapi32.dll이 보이므로 레지스트리 같은 윈도우 컴포넌트에 접근하는 동작이 있을 수 있다는 것을 확인할 수 있습니다.
  • Urlmon.dll이 있으므로 url로 파일을 다운로드 하는 기능이 있다는 것을 예상할 수 있으며 Downloader로 의심되는 이유를 예상해볼 수 있습니다.
  • Wsock32.dll, NETAPI32.dll를 보면 해당 프로그램이 네트워크 관련 작업을 수행할 수 있다는 것을 확인 가능하며 아래의 주소와 관련되어 있다는 것을 예상해볼 수 있습니다.
    • 추가적으로 디스크CWINDOWS파일에 nskSetup.exe파일을 다운로드할 것으로 예상됩니다.

 

  • 내부의 코드를 살펴보면 특정 이름의 파일이 존재하면 해당 파일을 삭제하는 동작이 있을 수 있다는 것을 확인할 수 있습니다.

 

PEView

  • 파일의 맨앞의 값을 확인해보면 MZ 즉 실행 파일임을 확인할 수 있습니다.

 

  • IMAGE_FILE_HEADER를 확인해보면 파일은 2015/08/04에 생성된 것을 확인할 수 있습니다.

 

  • IMPORT Directory Table에서는 Import된 DLL 파일을 한 번에 확인할 수 있었으며 Bintext에서 확인했던 DLL파일들을 다시 확인해볼 수 있었습니다.
  • Bintext로 분석한 내용에 대한 크로스 체크 용으로 PE View를 활용할 수 있을 것 같습니다.

 

2. 동적분석

실행

  • 먼저 bton02setup.exe 파일을 윈도우 11 64x환경에서 바탕화면 디렉토리에 옮겨서 관리자 권한으로 실행했습니다.

  • 실행한 직후에 바탕화면에서 bton02setup.exe가 사라진 것을 확인할 수 있었습니다.

 

Processor Explorer

  • Processor Explorer로 확인해 보았을 때에는 아무런 특이사항이 발견되지 않았습니다.

 

Processor Monitor

  • Processor Monitor로 확인해 보았을 때에는 bton02setup.exe에 의한 API 호출은 없었습니다.

 

Autoruns

  • Autoruns로 Snapshot을 비교해 보았을 때도 마찬가지로 별다른 특이사항을 확인하지 못했습니다.
  • 하지만 이를 비교할 때 작업관리자에서 bton02setup.exe의 프로세스가 아주 잠깐 실행되었다가 사라지는 것을 관측할 수 있었습니다.

 

Wireshark

  • 별다른 네트워크 트래픽이 확인되지 않았습니다.

 

결론

  • 윈도우 7 환경에서 에드웨어, 트로이목마, 다운로더로 동작할 가능성이 있는 악성코드이며 윈도우 11 64x 환경에서는 동작하지 않는 것으로 보여집니다.
    • 악성코드의 프로세스는 메모리에 잠깐 올라갔다 사라지지만 실행된 bton02setup.exe의 파일을 디렉토리에서 삭제하는 동작을 제외하고는 별다른 동작은 하지 않았습니다.
  • 별다른 네트워크 동작도 하지 않았습니다.

 

개선할 점

  • 가상 환경을 구성할 때 메모리를 너무 적게줘서 실행할 때 너무 답답했다. 다음부터는 자원을 조금 더 할당해야겠다.
  • VirusTotal에서 윈도우 7 32비트 환경에서 감지했다는 정보는 알았지만 최신 버전인 윈도우 11에서 테스트 했다. 따라서 악성코드에 대한 많은 정보를 얻지 못했다. 다음부터는 가장 취약한 버전으로 테스트를 해야겠다.

'보안 > 악성코드 분석' 카테고리의 다른 글

악성코드 분석 보고서  (0) 2025.04.03
악성코드 샘플 분석 dgrep.exe(동적분석만)  (0) 2025.03.25
악성코드 샘플 분석 dgrep.exe(정적분석만)  (0) 2025.03.15

티스토리툴바