kkoha RSS FEED

바이너리 패킹의 시대

IT의 눈부신 발전으로 지속되는 해킹과 크래킹 덕에 이제는 제품 릴리즈 전에 패킹하는 시대를 맞이하였다.

<Fig1. NPC 주제에 욕이라니! >

Themida 같은 Packer/Protector로 보호된 프로그램은 Code Virtualization를 사용하여 Origin Code로 복원되는 시점이 없고 다양한 난독화 기법으로 Virtualization 영역이 보호되어 있어 역공학시 많이 까다롭다. 

그런데 이러한 기술이 엉뚱하게 악성코드 보호에 악용되어 악성코드 분석 및 대응에 어려움을 겪고 있다.

특정 백신은 unpack을 성공하지 못하면 바이러스로 잡기도 한다. 

<Fig2. Packed/Themida >

그리하여 궁금해졌다. Themida 2.2.3.0은 뭐로 보호할까? 전 버전으로? 아니면 새로운 버전으로?

궁금증을 해결하기 위해 공식 홈페이지 http://www.oreans.com 에서 2.2.3.0 Demo를 다운로드를 받았다.

<Fig3. Themida Demo >

다운로드 받으면서 버전 업데이트 히스토리를 봤다.

2.2.2.0 버전에서도 기능향상 및 버그 수정 업데이트를 많이 했다.

<Fig4. Themida Update >

.net 이슈로 2.2.2.0 나오고 얼마 지나지 않아 2.2.3.0이 나온걸 확인 할 수 있다.

자 이제 확인해 볼까?

<Fig5. Themida v2.2.3.0 >

마찬가지로 Anti-debugging, Monitor blocked가 적용되어 있으며 Section 정보만 하더라도 Themida가 가지고 있는 형태이다.

좀더 알기 위해서 olly에서 살펴보니... Code Virtualization 기능, API wraping 등등이 적용 되었으며 보호 할 수 있는 모든 풀옵션을 적용한 것으로 예측 된다. 아무래도 자기들이 만든거니깐...

<Fig6. A SSA >

결론으로 Themida 2.2.3.0은 Themida 2.2.3.0으로 보호되고 있으며 델파이로 만들어졌다.

<Fig7. Delphi >

데모버전은 2.2.3.0 밖에 제공되지 않는다.

10월 14일에 2.2.6.0가 릴리즈 되었다. 어떻게 바뀌었을까? 보고싶다.

<Fig10. New Released >

kkoha

www.667803.com 으로 유포된 악성코드는 2013-09-25 21:04:20 ~2013-09-26 12:30 까지 불과 3시간만에 11044건의 공인인증서가를 가져갔다. 악성코드 전파속도가 ㅎㄷㄷ

이후 추가적으로 다른 악성코드를 다운받아서 비밀번호랑 보안카드도 유출을 시도한다.

어떻게 짧은 시간에 많은 사람들을 감염시켰을까?

감염시 전화번호부 목록에 있는 모든 전화번호로 문자메시지를 보낸다.

<Fig1. 문자 >

<Fig2. 문자메시지 전송 및 문자메시지 내용 할당 >

기존 스미싱 같은 경우 114등 모르는번호로 오기 때문에 의심할 수 있지만 아는 사람이 보낸다면 어떨까? 내가 좋아 하는 사람이 보냈다면?

헤헤 나같아도 클릭했을것 같다.

유출되었는지 어떻게 확인이 가능하냐?

<Fig3. NPKI 폴더 압축 >

<Fig4. 유출된 공인인증서 >

감염 이후 공인인증서가 들어있는 폴더를 감염자 핸드폰 전화번호를 이름으로 압축한다.ex)01012345678.zip 그 이후 악성앱 제작자의 FTP로 접속하여 업로드한다.

그렇게 때문에 FTP에 올라간 파일 리스트를 뽑으면 확인이 가능하다.

공인인증서만 유출된다고 아무것도 못하지않느냐?

당연히 공인인증서만 가지고는 아무것도 못한다. 그러나...우리나라에서의 개인정보는.....

<Fig4. 공격자는 당신의 정보를 가지고 있다. >

얘들은 010-1234-5678 번호을 가지고 있는 사람의 이름도 알고 있으며 통신사 그리고 주민등록번호까지 알고 있다.

참고 자료 : 지난 2년간 개인정보 유출 6천만 건 이상

공인인증서 유효기간은 1년이다. 악성앱 제작자는 가져간 공인인증서의 유효기간안에 다양한 방법으로 다시 공략할것이다.