Heur:Backdoor/Darkshell

개요

Heur:Backdoor/Darkshell 악성코드는 화면 캡쳐 기능,파일 삭제,디렉토리 삭제 기능,키로그 기능, 사운드 도청 기능, 캠 도청 기능등을 포함한 종합 모듈 형태의 악성코드입니다. 추가적으로 DDoS 악성코드를 추가한 악성코드 입니다.

MD5:fff85e5e6322220efd86719aa24c74090c21b44376d715fdb64f79254c7110f5

 

상세 분석

AhnLab-V3	X
BitDefender(알약)	O
nProtect	X
ViRobot	X

<국내 주요 백신 현황>

<virustotal 결과>

<패킹 결과>

 

Application,Security,System 이벤트 로그를 삭제 시킵니다.

OpenEventLog 함수를 사용해서 해당 로그(Application,Security,System)에 대한 핸들을 받아옵니다 첫번째로 Application에 대한 이벤트 로그 핸들을 받고 밑으로 내려가면 ClearEventLog 함수를 통해서 로그 기록을 삭제 시킵니다.

 

 

FindFirstFile, FindNextFile 함수를 통한 폴더내 모든 파일을 검색합니다. 삭제하고 싶은 파일,폴더를 삭제 시키는 기능입니다.

 

 

waveInPrepareHeader 함수를 호출해서 녹음에 필요한 버퍼를 준비하고 waveInStart 함수를 호출해서 녹음을 시작합니다.

 

 

감염 PC에 대해서 운영체제,메모리 정보,하드디스크 정보,CPU 정보등을 탈취합니다.

DDoS 샘플을 분석하기 위해서 실행 했지만 분석 방해 기술을 통해서 자신을 보호하고 있습니다.

계속 적으로 분석을 위해서 다양한 방식으로 접근을 시도했습니다. 분석 도중 단서를 찾았습니다. 분석 방해를 위해서 VMProtect 통해서 프로텍트를 했습니다.

VMProtect는 대표적인 프로텍터 툴로 강력하고 다양한 안티 디버깅 기술을 탑재하고 있습니다. 유명한 프로텍터로는 Themida 나 VMProtect 같은 프로그램이 있습니다.

 

 

UPX 패킹을 통해서 이중 패킹을 진행 했습니다.

 

 

감염 PC에 대해서 운영체제,메모리 정보,CPU 정보등을 탈취합니다.

 

 

악성코드 분석가의 기본 자질인 추리력을 통해서 계속적으로 DDoS 샘플에 대해서 추적해 나갑니다. 최종적으로 어떤 공격 기능을 가지고 있는지에 대해서 파악 할수 있습니다.

DDoS 공격 기능중 하나인 Http GET Flooding 공격을 포함하고 있습니다.

C&C 서버의 소재지는 대한민국 입니다.