설치 / 사용기

보안 / 해킹 업데이트 찌거기 제거 파일 주의 파일 분석하기

2022.09.21 22:05

Lr라 조회:1174 추천:14

운영진이신 id: gooddewgooddew님에게 파일을 받아 분석을 시작하였습니다.

차근차근 분석 결과를 사진으로 올려드리면서 마무리는 짧막요약으로 끝내겠습니다.

 

일단 해당 파일을 받아서 열기전에 마우스 오른쪽을 눌러보니... 딱하니... 따로 분리가되어있는것을 확인할 수 있습니다.

1.PNG

 

그래서 궁금해가지고 해당 BAT파일을 편집으로 열었습니다.

 

 

2.PNG

암호화가 되어있네요.  그런데 여기 적힌글을 보아서 저희는 base64Encoding이 되어있음을 추측 할 수 있었습니다.

그래서 base64를 디코딩 할 수 있는 사이트를 찾아서 디코딩을 시도하였습니다.

 

 

3.png

 

 

 

디코딩을 사용하였지만 실행파일로 보이는 내용이 보입니다. 

보통 저런 문구의 것들은 exe파일을 메모장으로 열었을때와 흡사한 패턴을 가지고있습니다.

그럼 이는 bat가 아니라 exe일 확률이 높으니 분석 프로그램으로 열어보겠습니다.

4.PNG

 

 

원랜 이 분석프로그램으론 bat가 열리지않는데... 짜잔... 하지만 열렸습니다!

 

 

 

5.PNG

 

그래서 실행되는 루틴대로 쭈욱 추적을 하다보니 스샷과 같은 경로가 나와 살펴보았습니다.

그런데 저부분이 삭제가되어있더라구요...

이 부분은 보통 시스템파일 폴더 접근이라든가 기타 등등의 보안과 관련있는 레지스트리가 있는 부분입니다.

이 부분을 소멸 시켰다는것은 상당한 의심이 갑니다.

계속 따라서 분석해보겠습니다.

 

6.PNG

 

지속적으로 레지스트리 값을 지가 멋대로 열었다가 닫았다가 쓰는 등의 행동패턴이 보입니다.

 

 

7.PNG

 

 

레지스르리를 한번 더 건드네요...

저 부분의 레지를 살펴보니 이번엔 값을 반대로 사용합니다.

 

8.PNG

 

윈도우 10으로 보이는 것은 제 레지스트리 창이고 그 옆에 xp로보이는 레지창은 가상윈도우에서 해당 파일을 분석하기 위해서 비교로 올린 창입니다.

 

10에서는 해당 레지값이 없는게 보이지만 xp에선 해당 레지가 값이 적용되어있습니다.

9.PNG

 

 

계속 해서 더 분석을 해보았지만 

AutoRun

DisableUNCheck

EnableExtensions

DelayedExpansion

DefaultColor

CompletionChar

PathCompletionChar

 

ERRORLEVEL

CMDEXTVERSION

CMDCMDLINE

DATE

TIME

RANDOM

 

003938C0  4B 6F 72 65 61 6E 5F 4B 6F 72 65 61 2E 39 34 39  Korean_Korea.949

 
등의 문구만 반복적으로 나옵니다.

 

10.PNG

 

이부분은 해당 기타 언어들에서 cmd의 명령어를 사용하기 위해서 cmd /c라는 옵션을 주게됩니다.

즉 이 부분으로 파악해보자 하면 해당 프로그램을 실행시에 cmd로 모든 명령어를 제어하도록 되어있습니다.

 

 

11.PNG

CopyFileExW는 특정 파일을 복사

IsDebuggerPresent는 분석방지용 함수

SetConsoleInputExeNameW는 특정 콘솔에 exe파일 이름을 적용하는겁니다.

 

 

 

보시면 함수까지 사용하면서 해당 부분을 셋하고 명령어를 내릴 준비를 합니다.

분석하다보니 vbs와 관련된 dll코드인 cs관련 dll을 로드하는게 몇군대 나왔습니다만, 사진엔 추가하지않았습니다.

12.PNG

 

 

명령 프롬프트 명령어를 사용하기위헤 추가된 구문입니다.

 

13.PNG

 

해당 부분은 vbs를 사용하기 위해 사용된 일부 함수입니다.

 

 

 

제가 분석한것은 이것으로 끝입니다..

 

분석 요약을 조금 해보자면 간단하게 설명드리겠습니다.

 

1. bat파일의 실상은 exe 파일 입니다. bat의 파일 패턴이나 구조가 아닙니다.

 

2.해당 프로그램으로 vbs명령어를 수행하여 해당 프로그램을 조작합니다.

 

3. vbs를 조작 시 해당 프로그램에도 일부 암호화 패턴을 적용하여, 스크립트 분석을 하지못하도록 막았습니다. 일부 분석 방지 함수도 보였습니다.

 

4. 일단 추측성 입니다만... 해당 프로그램은 cmd.exe를 자기 입맛대로 파일 교체했을 가능성이 있습니다.

 

5.이 프로그램을 실행하신분들은 gooddew님의 의견대로 포맷을 권장해 드립니다.

 

 

이상으로 짧막하게 분석해본 Lr라였습니다. 감사합니다.

https://windowsforum.kr/review/18489824 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 추천 등록일
[공지] 사용기/설치기 이용안내 gooddew - - -
34 서버 / IT| 504 gateway time-out 오류 해결 방법 ( NGINX ) [1] new gooddew 206 6 05-23
33 하드웨어| WD HDD PCB 전원부 수리 [4] gooddew 877 22 04-26
32 기 타| [첨부] 딸랑쇠님 Win11 Onekey 266mb Wifi ToolsBR PE 사용... [20] 왕초보 1138 38 03-13
31 기 타| CoolInstall5.0.6 사용기 - 딸랑쇠님 감사합니다.. [10] 왕초보 790 19 03-13
30 윈 도 우| 배치파일로 장치 드라이버 백업 복구하기 [45] gooddew 1067 72 11-04
29 모 바 일| 갤럭시 A32 5G 액정 교체하기 [8] gooddew 845 15 07-29
28 소프트웨어| Office LTSC Pro Plus 2021 Down & Install [39] 지후빠 3054 65 04-19
27 윈 도 우| 배치파일을 이용해서 윈도우 자동 설치하기 (1.26 수정됨) [18] gooddew 1627 38 01-23
» 보안 / 해킹| 업데이트 찌거기 제거 파일 주의 파일 분석하기 [20] Lr라 1174 14 09-21
25 기 타| IFW도 Windows\System32 폴더를 테그로 변경하여 보았습니다 [11] 왕초보 718 8 12-11
24 기 타| Snapshot 백업 프로그램에 차등 백업을 적용해 보았습니다.. [11] 왕초보 895 15 12-04
23 기 타| WinClon 최신 버전 사용기입니다.. [9] 왕초보 1856 12 12-03
22 기 타| ZIP 압축파일 암호 알아내기 (숫자암호) [10] gooddew 1510 15 12-02
21 기 타| Win11 CmdPE에 Cmd 메뉴..불편하네요 [5] 왕초보 745 12 11-28
20 기 타| Cmd에서 테그파일은 GUI(?)로 만들기를 하여 보았습니다. [7] 왕초보 713 11 11-21
19 기 타| DarknessAngel님 WimLib 업데이트소식 및 피드백?? [14] 왕초보 1192 16 11-16
18 기 타| maniaa님 Win11 22000.1 버전 저용량 Cmdpe를 활용하여 보... [10] 왕초보 905 15 11-13
17 기 타| 나눔고딕 폰트가 적용된 gulim.ttc (8.18MB)가 있네요.. [6] 왕초보 1334 12 11-13
16 기 타| gooddew님 복원 솔류션에서 DISM 대신에 WimLib 활용하여 ... [22] 왕초보 1048 16 11-12
15 윈 도 우| 이런**님 prince pe [23] 복원솔루션 1867 33 07-11
홈으로 위로 목록
XE1.11.6 Layout1.4.8