PUP 분석 - 2

지난번에 조사한 PUP와 그에 대한 사례에서 추가적으로 GRR에서 실제로 적용한 내용을 작성해보도록 하자. 테스트 대상의 시스템 정보는 다음과 같다.

 

 

테스팅을 한 악성코드는 다음과 같다.

 

 

그리고 ‘virustotal’이라는 사이트를 통해 테스팅한 악성코드를 각 안티바이러스군에 따라 분석을 해보았을 때 다음과 같았다.

 

 

대부분의 안티바이러스군이 악성코드라고 탐지한 malware.exe를 실행시켜 GRR에서 어떤 변화가 있는지 확인해보았다. 우선적으로 GRR에서 ListProcesses와 Netstat를 실행하여 기존 값을 찍어둔 뒤, malware.exe를 실행한 후 GRR에서 다시 ListProcesses와 Netstat를 실행하였다. ListProcesses는 아래와 같이 출력되었다.

 

- ListProcesses 화면.

 

사진에서 볼 수 있는 것처럼 ListProcesses의 size가 malware.exe를 실행하였을 때 감소하였다가 증가하는 것을 볼 수 있다. 이 때 size가 39에서 36으로 줄어드는 부분을 보았을 때 어떤 프로세스가 종료되었는지 파악해보았다. 다음과 같다.

GoogleUpdate.exe는 관계가 많이 없어 보이지만 다른 것들은 뭔가 Window에서 동작하는데 의미가 있는 것 같아서 각각 찾아보았다.

 

WmiPrvSE.exe : 윈도우 관리 도구 공급자 서비스. 시스템 관리에 대한 정보를 제공하는 WMI의 구성 요소 중 하나.

taskeng.exe : Task Scheduling Engine. 특정 시간에 특정 프로그램이나 프로세스가 실행될 수 있도록 예약하는 윈도우 프로그램으로 자동 백업 저장 및 예약된 바이러스 검사 시스템 체크 등에 사용.

msiexec.exe : MS 윈도우에서 사용하는 인스톨러 관련 기능을 담당하는 설치 프로그램.

 

이를 통해서 알 수 있었던 것은 malware.exe가 실행되면 윈도우 관리를 하거나, 바이러스 검사 시스템 체크, 인스톨러 관련 기능을 kill한다는 것을 알 수 있었다. 이렇게 4개 이외에도 실행한 후에 추가된 프로세스가 하나 있다. 다음과 같다.

MpCmdRun.exe가 무엇인가 하니 Windows Defender 폴더 하위에 있는 것이 windows 내에서 실시간 보호와 검사를 하는 것으로 보인다. malware.exe가 프로세스들을 kill하는 것을 감지, 악성코드로 간주하고 실행된 것으로 보인다.

 

이렇게 size가 줄어든 부분이 아닌 추가된 ListProcesses는 무엇이 추가되었는지 .csv로 추출한 값으로 비교하여 파악해보았다. 다음과 같이 3개가 추가된 것을 알 수 있었다.

 

taskeng.exe는 아까 설명했었고, SearchFilterHost.exe와 SearchProtocolHost.exe는 새로 나온 것이다. 무엇인지 찾아보았다.

 

SearchFilterHost.exe : 사용자 검색이 빠르고 용이하라고 인덱싱해주는 프로그램.

SearchProtocolHost.exe : windows의 인덱싱 검색 서비스의 일환으로 빠른 검색을 위해 파일들을 색인하는 기능을 담당.

 

여기서 Search 관련 프로세스들이 실행되는 것으로 보아 malware.exe를 다시 실행하면 어떤 작업을 하는지는 모르겠지만 검색을 실시하고 있는 것으로 파악이 된다. 또한 taskeng.exe를 다시 실행하는 것으로 보아 작업들에 대한 scheduling을 조정하고 있는 것으로 파악된다.

 

다음으로 Netstat는 아래와 같다.

- Netstat 화면.

malware.exe를 실행하였을 때, ListProcesses는 감소-증가-감소와 같은 양상을 보였지만, Netstat는 증가-감소-증가와 같은 양상을 보이는 것으로 보아 대칭적인 것을 알 수 있었다. 프로세스들이 kill되었을 때 Netstat는 증가하고 다시 실행하여 backdoor가 행해지고 있으면 Netstat는 감소하는 것을 파악할 수 있었다. 확실하다고는 분명하게 말할 수 없기 때문에 좀 더 추가적으로 분석을 요할 것으로 보인다.