<악성코드 실행 후 결과 분석>
Non-exsitent process(2484) > explorer.exe(3112) > 악성코드 원본 파일(6444)
Non-existent process(632) > wininit.exe(736) > services.exe(848) > svchost.exe(1216) > ctfmon.exe(3980)
CompatTelRuner.exe:232 : 악성코드 실행(Explorer.EXE3112 다음 줄)
보면 이 줄에서 powershell을 실행하는 것을 볼 수 있다.
이 다음 줄에서 services.exe:848가 실행되는데, 이는 정상프로세스이나 악성코드 실행 후 새 서비스들을 추가로 실행한 점이 의심스러웠다.
위의 프로세스 해커 기록을 참고하여 1216을 검색한 것이다. (그외 632와 736으로 검색한 결과는 아무것도 없었다.)
| svchost.exe:1216 > HKCU#SOFTWARE#Microsoft#Windows NT#CurrentVersion#AppCompatFlags#Compatibility Assistant#Store#C:#Users#user3#Desktop#RedlineStealer#RedlineStealer-cleaned.exe [RegDeleteKey] svchost.exe:192 > HKLM#SOFTWARE#Microsoft#Windows#Windows Error Reporting#TermReason#1328 [RegDeleteKey] svchost.exe:192 > HKLM#SOFTWARE#Microsoft#Windows#Windows Error Reporting#TermReason#152 ... (반복) |
호환성 어시스턴트 설정 조작(이건 cleaned 버전인데, 실수로 악성코드 원본 실행 전에 cleaned 버전을 실행해 버려 생긴 문제이다.)
TermReason 키 삭제 : 오류 보고 시스템 무력화, 악성코드 실행 흔적 제거
-> 악성코드가 정상 프로그램으로 위장
마찬가지로 위의 프로세스 해커 기록을 참고하여 3980으로 검색한 것이다.
의심스러운 부분
| [RegSetValue] ctfmon.exe:3980 > HKCU#SOFTWARE#Microsoft#InputPersonalization#TrainedDataStore#Insights |
InputPersonalization : 사용자 입력 개인화 설정
TrainedDataStore : 학습된 데이터 저장소
Insights : 통찰/분석 데이터
-> 타이핑 추적 / 입력 감시 / 위장 실행 가능성
마찬가지로 위의 프로세스 해커 기록을 참고하여 3112로 검색했다.
의심스러운 부분
| Explorer.EXE:3112 > HKCU#SOFTWARE#Microsoft#Windows#CurrentVersion#ActivityDataModel#ReaderRevisionInfo#F0A653E1-69FB-AEF5-2FF6-8699493C8B25 svchost.exe:5124 > HKLM#SOFTWARE#Microsoft#Windows#CurrentVersion#DeliveryOptimization#Config#DownloadMode_BackCompat = 1 |
ActivityDataModel : Timeline 관련 기능, 사용자가 언제 어떤 앱을 사용했는지 기록
ReaderRevisionInfo : 데이터 읽기 버전 정보
DeleiveryOptimization : 업데이트 배포 최적화 시스템, P2P 방식으로 업데이트 공유
Config#DownloadMode_BackCompat : 다운로드 모드 호환성 설정
값 1 : 특정 다운로드 모드 활성화
explorer.exe -> 사용자 활동 타임라인 데이터 수집/조작
svchost.exe -> 보안 패치 지연, 취약점 유지(탐지 회피)
반복적인 활동 -> 실시간으로 사용자 활동 모니터링
대량의 ARP -> ARP 스캐닝(측면 이동 준비), 스푸핑(중간자 공격) 시도 의심.
169.254.166.61 -> 해당 대역은 APIPA(자동 할당 주소), IP 탐색 시도
192.168.182.x -> DHCP 요청을 통해 받은 IP
이외에 별다른 네트워크 통신 시도 기록을 wireshark에선 찾지 못했다.
네트워크 서비스
| dns_53_tcp_udp (PID 16276) - DNS 서버 http_80_tcp (PID 16277) - HTTP 서버 https_443_tcp (PID 16278) - HTTPS 서버 ftp_21_tcp (PID 16283) - FTP 서버 smtp_25_tcp (PID 16279) - 이메일 서버 pop3_110_tcp (PID 16281) - 이메일 수신 |
특이한 서비스
| irc_6667_tcp (PID 16286) - IRC 채팅 (봇넷 C&C?) finger_79_tcp (PID 16288) - 시스템 정보 서비스 tftp_69_udp (PID 16285) - 파일 전송 |
-> 네트워크 통신 시도 X
'보안 > 악성코드' 카테고리의 다른 글
| RedlineStealer 악성코드 소스코드 분석(3) (3) | 2025.08.14 |
|---|---|
| RedlineStealer 악성코드 소스코드 분석(2) (1) | 2025.08.08 |
| RedlineStealer 악성코드 소스코드 분석(1) (1) | 2025.07.28 |
| RedlineStealer 악성코드 정적분석 (2) | 2025.07.28 |
| LummaStealer 악성코드 소스코드 분석(2) (0) | 2025.07.07 |