악성파일 다운로드의 새로운 URL 암호화 방식

악성파일들이 다운로드 시키는 URL을 암호화 시키는건 어제 오늘의 이야기가 아니다.

하지만, 제작자들도 귀찮은건지 Tool이 그렇게 지정되어 있는건지는 모르겠으나~ 암튼 바꼈다;;

예전에는 간단히 XOR, Inc, Dec 같이 간단하게 암호화를 시켰으나, 이번에는 조금 복잡하게 수정했다.

우선 악성파일이 서버로부터 다운로드 받은 update1.txt 파일이다.
내용에 뭔가 이상한 숫자들이 적혀져 있다. 분명 URL이라는 직감은 있었다, 남자의 직감!! ㅋㅋㅋㅋㅋㅋㅋㅋ

자 그럼 이 내용이 어떻게 URL이 되는지 알아보자!!
드롭퍼를 살펴보면 update1.txt 파일을 다운로드 하여, 내용을 파싱하는 부분을 지나면 레지스터에 해당 숫자들이 저장한다.

음...사진을 분명 많이 찍어놨는데~ 왜 이거밖에 없는건지 ㅡㅡ;;;
좀 빼먹긴했지만;; ㅋㅋㅋㅋㅋㅋㅋ 그냥 이런식으로 코드를 지나면 URL이 나온다.
(어차피 죽은 서버라 공개함!! 태글 걸지마셈!!)

스택창을 보면 좀 더 확실하게 알 수 있는데, 빨간칸으로 체크 한 부분 중 위의 부분이 아래처럼 URL로 바뀐 것을 볼 수 있다.

그렇다면, 어떻게 바뀌는 것일까? 라고 궁금해 하는 사람이 있을 것이다.
물론 어셈코드를 잘하는 분이라면 맨 위의 화면을 보고 대충 감을 잡았을 것이다.

결론은 요고다!! 

숫자를 3자리씩 끊어서 "itoa"를 하면 된다!!

이해안되시는 분이 있을것 같아서;; 그림으로 쉽게!!