By conchi | December 9, 2016
왕콘치의 악성코드 연구소 01
개봉박두! 왕콘치의 악성코드 연구소!!
안녕하세요(씨익-)
어쩌다보니 시작화면이 또 타조네요.
이게 왜그렇냐면 썸네일에 타조가 올라오니까 괜히 기분이 좋더라구요ㅋㅋㅋㅋ
그래서 그냥 앞으로 새로운 컨텐츠 시작할때는 타조로 시작하기로 마음먹었어요.
지난번 PE글 쓰다가 혼자 감정조절에 실패해 화가 많이 난채 사라진 물고기입니다.
그렇게 사라진뒤로 뜸하다가 이렇게 장기적으로 연재할 수 있는 컨텐츠를 들고 다시 나타났어요.
컨텐츠가 하나씩 끝날때마다 다음 글은 언제나오냐고 기다려주시는 분들이 많아 ㅠㅠ
제가 여러분들의 성원에 보답하기 위해 이제는 아예 쭈우우우우우욱~ 나오는 주제로 나타났습니다.
진짜냐구여?
구라임 ㅋ
사실은 그동안 야매로 공부했던 무언가들을 이렇게 써먹을 수 있구나 보여드리고 나타났습니다.
사실 그동안의 리버싱 튜토리얼이나 PE공부는 바로 왕콘치의 악성코드 연구소를 위한 빅픽쳐였습니다.
(개소름돋는 부분, 이렇게 롤을 했으면 플레각 아님?ㅋㅋ …..;;)
자 그럼 왕콘치와 함께 악성코드를 조지러 가봅시다. 헤헤!!
(후…. 야매의 향기가 진동을 하지만 이건 기분탓일거에요…아마도… )
연구소 소개
왕콘치의 악성코드 연구소는 왕콘치가 혼자 운영하는 그저 지극히 개인적이고 정상적이고 즐겁고 신나는 곳입니다.
이전의 글들과는 다르게 넘나 정상적이고 ‘헐 이걸 콘치가 썼어?’ 싶을정도로 진지할 계획입니다.
누가하라고 시키지도 않은걸 지혼자 하겠다고 난리치는거니 괜한 오해는 없었으면 합니다.
(아무도 오해 안하는데 혼자 쉐도우 복싱하고 있는느낌은.. 참트루인것인가…)
이곳은 저의 느낌이 닿는대로 무자비하게 악성코드들을 분석(동적, 정적)해볼 계획입니다.
분석하고자 하는 악성코드는 국내/국외를 가리지 않고 그냥 제가 마음에 드는 녀석으로 골라다가 할꺼에요 낄낄
샘플은 인터넷을 돌아다니거나.. 주변에 왠지 샘플 많을거 같이 생긴 사람들을 겁나 위협(!!)하고 괴롭(!!)혀서 구해다가 쓸 예정이고요 ㅠㅠ…
엉엉..사실 이게 제일 걱정이에요 ㅋㅋㅋ ㅋㅋㅋㅋ
샘플을 못구해서 왕콘치의 악성코드 연구소가 3회만에 문닫진 않을까… ㅂㄷㅂㄷ..;;; ..
그러니 굴러다니는 샘플이 있으면 언제든 주셔도 됩니다 헤헤ㅋㅋㅋㅋ(굽신굽신)
한줄요약 : 기승전 샘플주셈
연구소를 만들게된 계기
사실 저는 리눅스를 별로 안좋아하는 windows충입니다. (사실 지금도 리눅스랑은 좀 어색함)
아 뭐 그렇다고해서 PE 리버싱을 겁나 잘하는것도 아니지만 헤헤 그냥 관심이 많은 편이었어요.
나레기! 취업은 PE분석을 많이 하는곳으로 해야겠다!!! 라고 막연하게 다짐했건만…
정신을 차려보니
나님은 대전에 있었어요 ‘ㅅ’…
…ㅎ…
그래도 넘나 져은 팀장님과 팀을 만나 이렇게 혼자 연구소를 만들게 되었습니다.
꺄륵 넘나 좋은것 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ!!!!
3줄 요약
PE분석을 좋아하지만 잘하지는 않음 빡대가리라서 잘 까먹음
정신차려보니 대전
대전에서 이거 하기로 함 개이득잔치
과거 정체불명의 악성코드로 인해 점령된 컴퓨터에서 즐겜하다가
m모 게임계정을 4번가량 해킹당한적이 있었습니다 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ
(무려 OTP까지 걸려있었음;; OTP 숫자 치는데 멈추더니 그대로 골로가버림…)
극한의 분노를 느끼고 공부를 시작했던것 같네요.
저같은 피해자가 하나라도 적게 나왔으면 싶어서 시작했던 공부인데 이제야 그 빛을 보게되는거 같아 와타시는 넘나 기분이 좋습니다.
헤헤 넘나 기쁜나머지 계속 주절거리고 있는듯 한데 양해점 헤헤 바람 헤헤
주의사항(당부의 말씀)
이 시리즈를 읽기전에 멘탈이 각설탕 마냥 약한 콘치가 주의사항을 몇 가지만 이야기하고자 합니다.
◎ 저는 컴잘알이 아닙니다.
심지어 어디에서 따로 배워본적도 없는 하찮은 물고기 닝겐입니다.
이쪽분야는 너무나도 고수님들이 많은 분야이기 때문에 ㅠㅠ 저는 내세울것이 하나도 없습니다 ㅠㅠ…
저는 이전 시리즈들처럼 저만의 이야기를 해 나갈것이기 때문에 컴잘알인 분들이 보기에는 화가 날수도 있습니다.
그 화는 불판앞으로 가셔서 고기 구워드시면서 해소해주시면 감사하겠습니다.ㅠㅠ(정중)
◎ 저도 컴잘알이 되고싶어요.
우리회사 기술이사님처럼 짱해커가 되고싶지만 해킹을 잘하면 죽는병에 걸려서 해킹을 잘 못합니다(?)
그래서 가끔 보면 여러분이 생각하는것과 다른 내용이 있을 수 있습니다.
그럴땐 침착하게 저에게 개인적으로 알려주시면 아마 제가 격한 감동을 느끼고 더더 공부해서 양질의 정보를 제공할 수 있게 될거에요.
◎ 샘플은 공유하지 않습니다.
샘플은 인터넷에서 돌아다니면서 구해다 쓸 예정입니다.
저는 제 글을 읽는 여러분이 어떤 생각을 하고 있는지 잘 모르기 때문에 위험돋는 녀석들을 아무에게나 공유할 생각이 없어요.
헤헤
연구소 OPEN전 알아두면 좋은 사전지식들
연구소 오픈전, 다음편을 읽는데 불편함을 조금이나마 줄여보려 바둥거리는 부분
◎ 악성코드가 모냐능
악성코드로 말할 것 같으면 아주 나쁜놈들입니다.
내사랑 내컴퓨터에 나쁜 영향을 미치는 프로그램들을 일컫는 말입니다.
와타시의 컴퓨터에 몰래 다운되어 ㅠㅠ 나님의 개인정보를 훔치거나, 해커에게 와타시의 컴퓨터로 들어 올 수 있는 문을 열어주는등
하여튼 못된짓만 골라서 하는 프로그램들을 말합니다.
하지만 잘 생각해야 하는게, 본인의 편의를 위해서 사용되는 기능이 악성코드가 하는짓과 비슷한 경우,
과연 이는 어떻게 판단해야 하냐는 것 입니다.
이번 왕콘치의 악성코드 연구소 컨텐츠를 통해 이에 대해서 한번 깊이 생각해보는 시간이 되었으면 합니다.
◎ 국내를 뒤흔든 개빡치는 악성코드들이 함께했던(?) 사건들
최근 몇년(?) 사이에 대한민국을 뒤흔들었던 큼지막한 사건들을 몇개 이야기 해보도록 할게요.
⊙ 7.7DDos 공격(2009.07.07)
사실 최근 몇년이 아니네요… 벌써 몇년전이지…ㄷㄷ.. ‘ㅅ’..헤헤..하지만 양해바랍미당 헤헤
제가 파릇파릇한 고딩시절 일어났던 사건입니다.
게임계정을 해킹당하고 공부에 전념하지 못한채(?) 계정을 복구 시키기 위해 밤을 새가며 게임을 하던 때 군요.
(복구시킨 계정은 그뒤로 두번 더 털림;;;;)
2009년 7월 7일을 기점으로 대한민국과 미국의 정부기관 및 여러 포털사이트와 은행사이트 등이 DDos공격을 당한 사건입니다.
DDos 공격받은 우리나라의 주요 기관사이트나, 포털사이트 등이 받아 일시적으로 서비스가 되지 않았었습니다.
심지어 아주 치밀하게 1차, 2차 3차 공격까지 벌이다가 사라진 사건이었습니다.
이때, DDos 공격을 위해 사용되었던 악성코드 녀석을 콘치는 제일 처음 분석해볼 계획입니다.
DDos(Distributed Denial of Service)란?
분산 서비스 거부 공격이라는 말로 우리에게 알려져 있는 공격입니다.
말그대로 여러대의 공격자를 분산배치 하여 동시에 목표물을 공격하는 공격 방법입니다.
목표 사이트가 처리하기 힘든 양의 패킷을 보내 네트워크를 마비시키거나 시스템 기능을 저하시키는 무시무시한 공격이지요.
⊙ 3.4DDos 공격(2011.03.04)
제가 막 대학에 입학하던 시기, 보안의 중요성이 급상승 하게 된 계기가 된 사건 중 하나입니다.
DDos 공격 사건이며 주된 피해는 다수의 금융권과 국가 기관이었다죠.
국내의 P2P사이트들 몇군데가 해킹당해 악성코드를 유포하는 유포지로 사용되었습니다.
관련 정보를 조사하던중 충격적인 사실을 알게되었어요.
이당시에 사용되었던 악성코드들 중 하나는 host 파일을 변조해 백신의 정상적인 업데이트를 방해했다고 하네요.
……..ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ뭣이라ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
네ㅎㅎ…
그 당시 우리집 컴퓨터에 백신이 업데이트가 안되는데 그저 인터넷 문제인줄 알고
신경도 안썼던 제 자신에게 잠시 극혐하는 시간을 가지겠습니다.
(참고로 호스트 파일이 변조되었던걸 알게된건 6개월이나 지난 후였음;; 나란닝겐…극혐닝겐…
혹시 이 글을 보고 계신분들중에 백신 업데이트 안되면 호스트 파일 보고오셈…ㅂㄷㅂㄷ… )
끼아ㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏ아아아아악
아아아아아아아악!!!!!!!!!!!!!!!!!!!!!!!
화나!!!!!!!!!!!!!!끼에에에ㅔㄱ게게겍!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(정신을 차리지 못한 물고기의 온기가 남아있습니다)
⊙ 3.20 전산대란(2013.03.20)
주요 언론사(방송국 등)와 기업의 전산망이 마비되고, 많은 컴퓨터들이 악성코드에 감염되었던 사건입니다.
이때 사용되었던 악성코드의 주된 기능이
MBR(마스터 부트 레코드)과 VBR(볼륨 부트 레코드)를 파괴시켜 컴퓨터의 부팅을 불가능하게 했었다죠.
악성코드에 감염된 컴퓨터에서 hastati라는 문구가 발견되어 추가공격의 우려를 낳았던 사건이에요.
그당시 컴알못이었던 저에겐(물론 지금도 컴알못이지만 ㅠㅠ) 공포의 대상이었던 악성코드로 기억됩니다.
아 물론 지금은 꽤나 시간이 지난 사건들이기 때문에 자세한 내막이나 관련된 더 자세한 자료가 필요하신분들은
구글신께 조심스레 여쭈어 보면 오냐- 하고 알려줄거에요.
그런데 제가 왜 뜬금없이 연구소를 open하기 전에 이런 사건들을 언급했을까요?
…는 바로 연구소 첫 분석으로 위의 사건들에 사용되었던 악성코드를 분석할 계획을 세우고 있기 때문입니댱 헤헤 -ㅠ-…
Q1. 이미 너무 많은 자료들이 있는 샘플들을 고르신거 같은데 굳이 또 분석하실 필요가 있을까요?
A1. 왕콘치의 악성코드 연구소는 장기적으로 연재될 글인지라…
시작은 뭔가 ㅠㅠ 그동안 해보고 싶었던 샘플들을 분석해보고 싶었어요 ㅠㅠ..
네 맞아여 자료도 많고 이미 오래된 녀석들이라 실제 공격당시의 C&C서버들도 다 죽어서 별로 노잼일거 같긴해요 ㅠㅠ
그럼에도 불구하고, 그동안 배웠던것들을 써먹어 보기에 적합할것 같아서 골라봤어여 헤헤 ‘3’
◎ 어떤식으로 분석을 진행할 계획일까요
동적분석과 정적분석을 혼합한 내용을 결과로 보여드릴 생각입니다.
동적분석: 프로그램이 실행되고있는 상황을 위주로 분석하는 방법
정적분석 : 프로그램을 실행하지 않고 코드를 기반으로 분석하는 방법
이 마저도 튜토리얼마냥 내마음대로 상세하게 (마치 스스로를 이해시키듯) 쓸 계획이라 동적분석 내용 따로,
정적분석 내용 따로 이런식으로 내용이 올라오진 않을듯 해요.
(예전에 그렇게 한번 했다가 다시 읽으려니 겁나 핵 불편함을 느낌;;)
아마 동적분석이랍시고 나오는건 제가 VM안에서 실행시켜놓고
“이거 혹시리얼머신에서 실행시킨거 아냐?!!?!?!?!”
이러면서 겁을 먹은 모습,
뭔가 이상수상한 툴들을 이용해서
“아니 지금 이런 일들이 일어나고 있다니!!!(혼자 다급)”
(토독토독토독)
“후 해킹을 막았어.”
이러면서 세상에서 제일 개쓸데 없는 허세를 부리거나
“헤헤 실행한번 해봅시당 실행실행실행 어라 제 VM이 감염되었네요 ^^;;
감염되면 이렇게 되는가봐요! 그럼 이제 정적 분석을 해볼까요 ?
근데 스냅샷이 어디갔찌??”
이런 정도가 될거같아요.
정적분석때는
그냥 IDA와 한몸이 되어 있지 않을까 싶습니다.
간혹 허세를 위해 필요하지 않은 무분별한 Olly dbg를 사용할지도 모릅니다.
위의 내용 한줄요약 : 진짜 마음대로 악성코드를 분석할 계획인듯;;;
정리
이런 커다란 사이버 공격에는 악성코드들이 함께했다.
좀 오래된 녀석들이긴 하지만 분석을 해볼 계획인가보다.
물고기는 컴알못이다.
끔찍한 연구소가 될것 같다.
아무도 나를 막을 수 없으셈
샘플은 때려죽여도 공유하지 않는다.
IDA없이는 코드 분석을 못하는 IDA충 같다.
허세를 좋아한다.
뭔가 이상하다
상당히 진지한 글이 될거라고 한다.
의식의 흐름에 따른 분석 일지가 예상된다(;;;;)
그렇다.
다음편 예고
7.7 DDos에서 사용되었던 악성코드 샘플들을 힘겹게 어디서 주워왔어요.
얘들을 분석하는 과정과 분석한 내용을 어디한번 파헤쳐 볼까 합니다 헤헤 ‘ㅅ’!
(험난함과 고통이 예상되는건.. 기분탓일까요…)
커밍쑨!!!
언젠간 돌아오겠습니다!
언젠간….
그럼 그때까지 모두들!