7.7 DDoS 악성코드 분석
Contents
7.7 DDoS 악성코드 분석
박찬암 (hkpco)
[email protected]
http://hkpco.kr/
2009. 07. 09
2
시작하며
2009년 7월, 한국과 미국의 주요 사이트들이 서비스 거부 공격(Distributed Denial-of-Service)의
위협을 받게 됩니다. 본 문서는 그러한 공격의 원인이 되는 악성 프로그램을 지극히 개인적인 관
점에서 필요한 일부만을 정적 분석하였고, 부족하지만 해당 부분과 관련하여 조금의 참고라도 되
고자 하는 마음에 공개합니다. 악성 코드에 대한 샘플(Sample)을 모두 구하지 못하였기 때문에
분석에 어느 정도 제한이 있을 것임을 미리 밝혀둡니다.
목 차(Contents)
msiexec2.exe 분석
perfvwr.dll 분석
3
msiexec2.exe 분석
File: msiexec2.exe
Size: 33841
MD5: BCB69C1BAB27F53A0223E255D9B60D87
우선 msiexec2.exe의 메인 부분 루틴은 다음과 같으며, 젂체 루틴이 그리 길지 않기 때문에 조금
만 분석해 보면 해당 바이너리의 역할을 어렵지 않게 파악할 수 있습니다.
가장 첫 번째 함수에서는 특정 DLL 파일에서 함수 주소들을 얻어오는 작업을 일괄 처리합니다.
4
그 다음, 현재 경로를 시스템 디렉토리로 지정합니다.
.text:004013F1 lea eax, [esp+108h+SysDir_buffer]
.text:004013F5 push 104h
.text:004013FA push eax
.text:004013FB call __GetSystemDirectory
.text:00401401 lea ecx, [esp+108h+SysDir_buffer]
.text:00401405 push ecx ; lpPathName
.text:00401406 call ds:SetCurrentDirectoryA
; 현재 디렉토리를 시스템 디렉토리로 설정
이후 두 개의 함수가 각각 호출되는데, 여기서 첫 번째 함수는 공격 대상 사이트의 리스트를 생
성하는 역할을 수행하며 00401260 주소에서 시작합니다.
.text:00401269 mov esi, …
박찬암 (hkpco)
[email protected]
http://hkpco.kr/
2009. 07. 09
2
시작하며
2009년 7월, 한국과 미국의 주요 사이트들이 서비스 거부 공격(Distributed Denial-of-Service)의
위협을 받게 됩니다. 본 문서는 그러한 공격의 원인이 되는 악성 프로그램을 지극히 개인적인 관
점에서 필요한 일부만을 정적 분석하였고, 부족하지만 해당 부분과 관련하여 조금의 참고라도 되
고자 하는 마음에 공개합니다. 악성 코드에 대한 샘플(Sample)을 모두 구하지 못하였기 때문에
분석에 어느 정도 제한이 있을 것임을 미리 밝혀둡니다.
목 차(Contents)
msiexec2.exe 분석
perfvwr.dll 분석
3
msiexec2.exe 분석
File: msiexec2.exe
Size: 33841
MD5: BCB69C1BAB27F53A0223E255D9B60D87
우선 msiexec2.exe의 메인 부분 루틴은 다음과 같으며, 젂체 루틴이 그리 길지 않기 때문에 조금
만 분석해 보면 해당 바이너리의 역할을 어렵지 않게 파악할 수 있습니다.
가장 첫 번째 함수에서는 특정 DLL 파일에서 함수 주소들을 얻어오는 작업을 일괄 처리합니다.
4
그 다음, 현재 경로를 시스템 디렉토리로 지정합니다.
.text:004013F1 lea eax, [esp+108h+SysDir_buffer]
.text:004013F5 push 104h
.text:004013FA push eax
.text:004013FB call __GetSystemDirectory
.text:00401401 lea ecx, [esp+108h+SysDir_buffer]
.text:00401405 push ecx ; lpPathName
.text:00401406 call ds:SetCurrentDirectoryA
; 현재 디렉토리를 시스템 디렉토리로 설정
이후 두 개의 함수가 각각 호출되는데, 여기서 첫 번째 함수는 공격 대상 사이트의 리스트를 생
성하는 역할을 수행하며 00401260 주소에서 시작합니다.
.text:00401269 mov esi, …
IoC
BCB69C1BAB27F53A0223E255D9B60D87