Notice
Recent Posts
Recent Comments
Link
«   2025/06   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
Tags more
Archives
Today
Total
관리 메뉴

ilovechoonsik

Volatility - Cridex 본문

Mentoring 🧙/🍎

Volatility - Cridex

춘시기좋아 2022. 4. 1. 23:57

0. 분석에 들어가기 전 Cridex란?

 Cridex는 사용자의 금융 기록에 액세스 하기 위해 감염된 시스템의 은행 자격 증명 및 기타 개인 정보를 훔칠 수 있는 정교한 뱅킹 악성 코드입니다.

 Cridex 트로이 목마는 감염된 컴퓨터의 매핑된 이동식 드라이브에 자신을 복사하여 확산됩니다. Cridex는 감염된 시스템에 백도어 진입점을 생성하여 악성 웹사이트를 여는 것과 같은 작업을 수행할 뿐만 아니라 추가 맬웨어를 다운로드 및 실행할 수 있습니다. 이때 Cridex는 사용자가 금융 웹 사이트를 방문하여 로그인하려고 할 때 감염된 시스템에서 사용자의 은행 자격 증명을 캡처할 수 있습니다. Cridex는 은밀히 사용자를 사기성 금융 사이트 버전으로 리디렉션 하고 입력되는 로그인 자격 증명을 기록합니다.

 이 시점에서 Cridex는 사이버 범죄자에게 감염된 시스템에서 실제 금융 사이트에 연결하고 사기성 금융 거래를 실행할 수 있는 기능을 제공합니다.

 

1. 기본 plugin - imageinfo

1. imageinfo

[그림 1] imageinfo

 : 보통 가장 먼저 수행하는 plugin! 

KDBG(Kernel Debug Symbol)를 Search 해서 이 메모리가 어떤 운영체제에서 획득되었는지 판단하는 과정!

가장 먼저 수행하는 이유가 이후에 추가적으로 수행할 plugin 들은 profile을 기반으로 동작하기 때문에

profile에 따라 동작 과정이 달라지기 때문!

 

2. 프로세스 관련 plugin - pslist, pstree, psscan, psxview

1. pslist 

[그림1] pslist

링크드 리스트 해석해서 프로세스 목록을 보여주는 것! 때문에 속도가 비교적 빠름

 

2. pstree

[그림 2] pstree

 : pslist 구조를 .기준으로 tree 형식으로 보여줌!

 

3. psscan 

[그림3] psscan

프로세스 구조체를 우리가 분석하는 대상 물리 메모리에서 하나하나 탐색해서 우리에게 보여줌!

그렇기 때문에 링크드 리스트 기반인 pslist, tree보다 비교적 느리다

물리 메모리에서 가져오는 것이기 때문에 offset(P)로 되어있고 ffff가 아닌 0000으로 시작

 

장점 : list 끊긴 것들도 확인할 수 있다! (pslist로 확인할 수 없던 종료된 프로세스가 몇 개 더 보임)

단점 : 잘못된 정보도 보여줄 수 있음

 

4. psxview

[그림 4] psxview

psxview : 다양한 프로세스 리스트로 숨겨진 프로세스를 찾기 쉬움
pslist는 False이지만 psscan은 True인 프로세스를 찾으면 해당 프로세스가 숨겨진 프로세스인 걸 확인할 수 있다.

 

 

이 plugin들로는 아직까지 악의적인 행위를 할만한 프로세스를 구분하기 어려웠다

추가적인 plugin 사용을 통해 수상한 프로세스를 식별하자!

 

3. 악성 프로세스 식별을 위한 plugin - malfind, connscan

1. malfind

[그림 1] malfind
[그림 2] malfind.txt 확인
[그림 3] malware로 의심되는 프로세스 정리

malfind를 이용해 찾은 malware로 의심되는 프로세스

csrss.exe        PID 584

winlogon.exe  PID 608

explorer.exe    PID 1484

reader_sl.exe   PID 1640

 

이 사이트에 의해 csrss.exe 와 winlogon.exe는 윈도우 기본 프로세스로 올바른 PPID 아래서 실행되고 있다고 생각이 되었다.!

 

reader_sl.exe는 Acrobat Reader를 신속하게 실행할 수 있도록 해주는 Adobe Acrobat에 속하는 실행파일이고 PDF 관련 프로세스인 것 같다.

 

여기까지도 잘 모르겠어서 추가적인 정보를 얻기 위해 다른 plugin을 사용!

 

2. connscan

: xp 이전 버전까지 사용 가능한 네트워크 연결+연결 종료 흔적

[그림 4] connscan

PID 1484

41.168.5.140:8080

125.19.103.198:8080

와 연결시킨 것을 확인할 수 있다.

 

malfind로 찾은 malware로 의심되는 프로세스들 중 connscan과 겹치는

explorer.exe  PID 1484가 악성 행위를 하는 프로세스로 유력하다고 생각한다

 

3. 수상한 프로세스 식별

[그림 5] 악성 프로세스 식별

malfind와 connscan을 통해 PID 1484를 악성 프로세스로 추정!

해당 프로세스 하위 프로세스인 PID 1640도 악성 프로세스 일 것이기 때문에 함께 분석해야 한다

 

4. 의심되는 프로세스 덤프 plugin - dumpfiles, procdump, memdump

0. dumpfiles : 파일 덤프

[그림 1] cmdline
[그림 2] 의심 프로세스 1640 존재하는 거 외의 특이한 점 발견하지 못함
[그림 3] filescan - dumpfiles 이용하여 reader_sl.exe 덤프
[그림 4] 애매한 결과

dumpfiles로 추출한 파일은 바이러스 토털에서 확실히 판단되지 않았다

 

1. procdump : 프로세스 자체 덤프

2. memdump : 해당 파일이 메모리에서 어떤 동작을 수행했는지 볼 수 있는, 영역을 덤프

[그림 1] prodump와 memdump

 

3. 이제 procdump를 통해 덤프 한 exe 파일들을 바이러스 토탈에 던지고 확인해보자!

완전 악성!

 

5. 덤프 한 파일 strings 후 분석

1. 덤프 한 파일 strings.exe로 깔끔하게 정리

[그림 1] 덤프한 파일 strings

 

2. connscan으로 찾은 IP를 통해 어떤 악성 행위했는지 분석

[그림 2] connscan으로 확인 한 IP로 악성 행위 검증

Cridex malware는 아래와 같은 행위를 수행하기 때문에

 Cridex는 사용자가 금융 웹 사이트를 방문하여 로그인하려고 할 때 감염된 시스템에서 사용자의 은행 자격 증명을 캡처할 수 있습니다. Cridex는 은밀히 사용자를 사기성 금융 사이트 버전으로 리디렉션하고 입력되는 로그인 자격 증명을 기록합니다.

 이 시점에서 Cridex는 사이버 범죄자 에게 감염된 시스템에서 실제 금융 사이트에 연결하고 사기성 금융 거래를 실행할 수 있는 기능을 제공합니다.

위 IP들은 피싱 금융 사이트로 추정된다.

 

추가적으로 레지스트리 Run에 무언가를 등록한 거 같은 흔적을 발견했기 때문에 분석을 시도하였다.

 

3. printkey : 레지스트리 등록되어 있는 key 분석

Software\Microsoft\Windows\CurrentVersion\Run의 키를 직접 확인해보면 아래와 같다

[그림 1] RUN에 등록되어 있는 KB00207877.exe

KB00207877.exe라는 시스템 업데이트 파일? 이름으로 키가 등록되어 있었다

이 key를 아까 memdump txt 파일을 통해 실제로 악성 프로세스에 의해 등록된 것이 맞는지 확인해야 한다

 

 

[그림 2] KB00207877.exe를 다루고 있는 PID 1484

PID 1484 memdump 파일에서 수많은 KB00207877.exe 흔적과

cridex1.exe라는 malware의 직접적인 이름까지 확인할 수 있었다

 

이 KB00207877.exe 가 도대체 뭐길래 PID 1484가 RUN에 등록시키고 이것저것 행위들을 하는지 궁금해

파일 덤프 후 열어보았다.

 

[그림 3] 파일 덤프를 위한 스캔

총 3개의 파일이 존재했고 첫 번째 파일부터 열어보았다.

 

 

1번째 파일

정상파일!

 

 

2, 3번째 파일

2, 3번째 파일이 악성코드였다 (윈도우 방화벽에서 Cridex로 인식하고 차단)

 

안랩 악성코드 정보에 의하면 해당 악성코드는 시스템 및 사용자 계정 정보를 유출하는 악성코드라고 한다.

 

PID 1640는 KB00207877.exe를 RUN에 등록해 지속적으로 시스템 및 사용자 계정 정보를 유출하는 악성코드인 거 같다

 

 

6. 결론

1. reader_sl.exe를 사용자가 어떠한 경로를 통해 다운로드, 실행? 하였고

2. reader_sl.exe는 explorer 아래서 악의적인 행위들을 함

- 정상 파일명으로 자가 복제한 파일(KB~~~.exe)을 설치하고 레지스트리에 등록하여 자동실행

- 사용자 키 입력 정보를 수집하고 사용자 계정 정보, os 정보 등을 유출

- 피싱 금융 사이트(dump txt에서 확인한 공격자의 IP 목록)로 사용자를 접속시켜 로그인 정보를 수집

 

 

# 헷갈리는 점 : 

- reader_sl.exe의 다운로드 경로

참조 : 

https://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeView.do?virusSeq=35663&tabGubun=1

 

악성코드 정보 | AhnLab

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보를 찾아보실 수 있습니다.

www.ahnlab.com

https://www.webopedia.com/definitions/cridex-malware/

 

What is Cridex? | Webopedia

Cridex is a sophisticated strain of banking malware that can steal banking credentials and other personal information on an infected system in order to

www.webopedia.com

https://rootable.tistory.com/554

 

윈도우 주요프로세스

* lass.exe : Local Security Authority Subsystem Services  : 보안 정책 적용을 담당하고 있는 프로세스  : 패스워드 변경, access tokens 생성, 사용자 인증 등을 담당  : 악성코드가 자주 사용하는 이름..

rootable.tistory.com

https://gbworld.tistory.com/1420

 

csrss.exe 정체는? 바이러스 구분 방법

csrss.exe는? CSRSS는 Client/Server Runtime Subsystem(클라이언트/서버 런타임 하위 시스템)의 약자입니다. csrss.exe는 윈도우 시스템에 기본으로 동작되는 프로세스로, 클라이언트 요청에 대한 작업자 스레

gbworld.tistory.com

Adobe Acrobat
어도비의 PDF 형태의 파일을 보고 만들고 처리하고 관리할 수 있게
되어 있다.
https://ko.wikipedia.org/wiki/%EC%96%B4%EB%8F%84%EB%B9%84_%EC%95%A0%ED%81%AC%EB%9F%AC%EB%B1%83

Reader_sl.exe는 PDF로 작성, 보기, 수정 및 인쇄하기 위해 Adobe에서 만든 소프트웨어 및 웹 서비스 인 Adobe Acrobat에 속한 실행 파일입니다. Reader SpeedLauncher는 Acrobat Reader를 시작하는 데 필요한 시간을 줄여줍니다.
https://ko.nex-software.com/what-is-reader_sl-exe

 

 

 

 

'Mentoring 🧙 > 🍎' 카테고리의 다른 글

# 3  (0) 2022.04.14
# 2  (0) 2022.04.14
# 1  (0) 2022.04.14
Volatility - Olympic Destroyer  (2) 2022.04.14
'Mentoring 🧙/🍎' Related Articles more
Comments