Lnk 취약점을 이용하는 Sality 감염 악성코드 분석

어제 포스팅 하였던 V.WOM.Sality.3.Gen과 관련이 있는지에 대해서는 아직까지 밝혀지지 않았지만, 

아무래도 연관성이 있어 보인다.

조금 급조한 분석이지만, 차후 까먹을까봐 ㅠ_ㅠ 기록용으로 남겨둔당~~

- 드롭퍼 분석

1. 네트워크 공유폴더 접근

WnetOpenEnumA, WNetEnumResourceA API를 사용하여 네트워크 폴더에 접근한다.

DWORD WNetOpenEnum(

  __in   DWORD dwScope,

  __in   DWORD dwType,

  __in   DWORD dwUsage,

  __in   LPNETRESOURCE lpNetResource,

  __out  LPHANDLE lphEnum

);

DWORD WNetEnumResource(

  __in     HANDLE hEnum,

  __inout  LPDWORD lpcCount,

  __out    LPVOID lpBuffer, 

  __inout  LPDWORD lpBufferSize

);

분석 시 lpBuffer 에 들어가는 파라미터값이 검색 할 네트워크 공유폴더명이다.

Microsoft 터미널

Microsoft Windows 네트워크

Web Client Network

WORKGROUP

분석 시 위의 공유 목록들이 확인되었다.

2. 뮤텍스(Mutex) 생성

뮤텍스를 생성하여 중복실행을 방지한다.

MutexName = "woemnm593jfe" 

3. 레지스트리 생성

HKEY_CURRENT_USER\Software\zrfke 

"session" = "29"

4. 파일생성(w(랜덤).tmp)

특이하게도 이넘은 로컬PC에 파일을 생성하지 않았다.

네트워크 공유폴더를 찾아 조건이 맞는 폴더를 찾을 경우 그곳에 w(랜덤).tmp 파일로 드롭시키는 것으로 판단된다.

(아직 100% 분석이 되지 않아서 확신을 할 수 없당 ㅠ_ㅠ, 네트워크 공유가 잘 되어 있는 기업을 타겟으로 만들어진 파일이라는 느낌이 살짝쿵 들어온다.)

생성 된 tmp 파일은 자신의 파일(exe)에 속해져있는 파일로써, 아직 분석이 끝나지 않았음!!

5. 파일생성(Lnk)

조건에 따라 Lnk 파일 앞에 "_" 또는 "~" 문자열이 붙는다.

자신의 data 섹션에 담겨져 있는 Lnk 파일의 헤더를 모든 Lnk 파일이 공유하여 쓴다.

Lnk 파일마다 틀린 부분은 w(랜덤).tmp 파일명뿐....;;

00415824  4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00  L........?..

00415834  00 00 00 46 FF 00 00 00 00 00 00 00 00 00 00 00  ...F...........

00415844  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

00415854  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

00415864  00 00 00 00 00 00 00 00 00 00 00 00 00 FF 14 00  ..............

00415874  1F 00 E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30  .???i↖.+0

00415884  30 9D 14 00 2E 1E 20 20 EC 21 EA 3A 69 10 A2 DD  0?..  ??i♬

00415894  08 00 2B 30 30 9D 0C 01 00 00 00 00 00 00 00 00  .+00?........

004158A4  00 00 00 6A 00 00 00 00 00 00 00 00 00 00 00 00  ...j............

00 00 00 6A 00 00 00 00 00 00 00 00 00 00 00 00 값 뒤에 생성 된 w(랜덤).tmp 파일이 들어온다.

생성 되는 Lnk 목록

Copy of New Folder.lnk

Copy of New File.lnk

Copy of Shortcut.lnk

New Shortcut.lnk

New Folder.lnk

Shortcut.lnk

Drivers.lnk

Anna Benson Sex video.lnk

Kate Beckinsale nude pictures.lnk

Jenna Elfman sex anal deepthroat.lnk

Miss America Porno.lnk

Porno Screensaver.lnk

Serials.lnk

Barrett Jackson nude photos.lnk

Britney Spears XXX.lnk

Paris Hilton XXX Archive.lnk

XXX hardcore.lnk

XXX.lnk

XXX archive.lnk

groom.lnk

Fotograf.lnk

Photoalbum.lnk

My photoalbum.lnk

Myphotos.lnk

My photos.lnk

My beautiful person.lnk

beautiful.lnk

Gallery photos.lnk

caroline.lnk

Katrina.lnk

kleopatra.lnk

Caitie.lnk

Mary-Anne.lnk

Lisa.lnk

Bad girl.lnk

Julie.lnk

Aline.lnk

Anna.lnk

Barbi.lnk

Katrina.lnk

Juli.lnk

Mary.lnk

Mandy.lnk

Sara.lnk

rebecca.lnk

Jammie.lnk

kate.lnk

Audra.lnk

stacy.lnk

Rena.lnkK

elley.lnk

Tammy.lnk

Picture.lnk

My Photos.lnk

Photoalbum.lnk

- 생성Dll 분석

1. 뮤텍스를 생성하여 중복실행을 방지한다.

MutexName = "op1mutx9"

2. System.ini 파일을 변조시킨다.

3. 레지스트리 생성

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List

"%TEMP%\(랜덤).exe " = "%TEMP%\(랜덤).exe:*:Enabled:ipsec

4. 파일생성 및 실행

시스템의 Temp 폴더를 찾아 랜덤한 6자리의 exe파일을 생성시킨다.

5. 인터넷 접속

URL : cdeinaa.com/sm.php?pizda1=33

User Agent : angel

분석 시 접속이 되지 않았음 ㅠ_ㅠ 

- Temp파일 분석

상당히 짜증나는 패킹을 해놔서 머리에서 스팀이 난당 ㅡ.ㅡ;

1. 뮤텍스를 생성하여 중복실행을 방지한다.

MutexName = "uxJLpe1m"

2. 스레드 생성

작성중....

3. 파일생성

작성중....

대략 요약하면 다음과 같다.

드롭퍼 = w(랜덤).tmp + Lnk 생성 + 레지스트리 생성

w(랜덤).tmp = (랜덤)x.exe 드롭 + 레지스트리 생성 + 인터넷 접속 + 파일실행

(랜덤)x.exe = 아직 모름 ㅡ.ㅡ;;  넌 누구냐!!

- 관련글

2010/07/28 - [악성코드소식] - Worm.Sality.3 감염코드가 포함 된 오토런 악성파일 주의!!