| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- powershell
- 10년물
- winhttp
- 제주글렌코
- FDO
- 장단기금리역전
- DonwLoader
- 정원카페
- 건폐율제한
- 경제
- 취득세
- 세금의종류
- 카페글렌코
- 미국국채
- 가게부채
- ADO
- 중국가게부채
- RSA
- RSA AES256
- Revenge-RAT
- 재산세
- 세금
- RSA 2048
- 중국지준율
- shellcodeLoader
- 중국부실채권
- 글렌코
- 지준율
- 토지이용규제정보서비스
- rat
- Today
- Total
부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.
Script Downloader 분석 - 1 본문
최근 Locky 랜섬웨어가 많이 유행하고 있습니다.
유포하는 방식은 다양하지만 이번 장에서는 악성 스크립트를 이용하여 랜섬웨어를 다운로드 하여 실행하는 부분에 대해 살펴 보도록 하겠습니다.
Locky 랜섬웨어 제작자는 최근 이메일로 불특정 다수에게 메일을 보내게 됩니다.
해당 메일에는 ZIP파일이 첨부되어 있으며, ZIP파일을 압축해제할 경우 JS 파일과 BMP파일이나 문서파일을 볼 수 있습니다.
이떄 사용자가 JS파일을 실행하게 되면 랜섬웨어를 다운받아 실행하게 됩니다.
사실 JS파일뿐만 아니라 VBS가 동작하는 워드, 한글, 엑셀등에서도 이런 스크립트 다운로드는 광범위 하게 사용됩니다.
스크립트 다운로더를 이해하기 위해서 선행적으로 이해해야 할 부분이 존재합니다.
1. FSO ( File System Object )
2. ADO ( ActiveX Data Object )
FSO
FSO는 마이크로소프트에서 제공하는 FILE SYSTEM Interface입니다.
해당 인터페이스는파일 시스템에 대한 각종 객체 및 Method를 제공합니다.
FSO 객체는 아래와 같습니다.
|
개체 |
설명 |
|
FileSystemObject |
드라이브, 폴더 및 파일을 만들거나, 삭제하거나, 관련 정보를 얻고, 조작할 수 있습니다. 이 개체와 연관된 많은 메서드는 다른 개체의 메서드와 중복됩니다. |
|
Drive |
사용할 수 있는 공간 크기 및 해당 공유 이름과 같이 시스템에 연결된 드라이브에 대한 정보를 수집할 수 있습니다. FSO 모델에서 "드라이브"는 반드시 하드 디스크일 필요는 없으며 CD-ROM 드라이브, RAM 디스크 등이 될 수 있습니다. 드라이브가 반드시 시스템에 실제로 연결되어 있을 필요는 없으며 LAN(Local Area Network)을 통해 논리적으로 연결될 수 있습니다. |
|
Folder |
폴더를 만들거나, 삭제하거나, 이동할 뿐만 아니라 시스템에 폴더의 이름, 경로 및 기타 정보를 쿼리할 수 있습니다. |
|
File |
파일을 만들거나, 삭제하거나, 이동할 뿐만 아니라 시스템에 파일의 이름, 경로 및 기타 정보를 쿼리할 수 있습니다. |
|
TextStream |
텍스트 파일을 읽고 텍스트 파일에 쓸 수 있습니다. |
https://msdn.microsoft.com/ko-kr/library/aa711216(v=vs.71).aspx
드라이브, 폴더, 파일에 대한 Method를 제공하게됩니다.
Method는 아래와 같습니다.
|
작업 |
명령 |
|
새 개체 만들기 |
CreateFolder 또는 CreateTextFile |
|
파일 또는 폴더 삭제 |
DeleteFile 또는 File.Delete 및 DeleteFolder 또는 Folder.Delete |
|
개체 복사 |
CopyFile 또는 File.Copy 및 CopyFolder 또는Folder.Copy |
|
개체 이동 |
MoveFile 또는 File.Move 및 MoveFolder 또는Folder.Move |
|
기존 드라이브, 폴더 또는 파일 액세스 |
GetDrive, GetFolder 또는 GetFile |
위의 Method를 이용하면 FSO에서 제공하는 객체에 대하여 생성, 삭제, 복사, 이동, 정보 획득이 가능해집니다.
ADO
ADO는 MS에서 개발한 고성능 COM 인터페이스로 Universal Data Access 기능을 제공합니다.
Universal Data Access는 데이터의 저장 형식에 상관없이 데이터에 접근하는데 PE, Binary, TEXT 어떤 형태로도 접근을 엑세스가 가능하며 다중 데이터 소스에 대해 분산 쿼리 또는 일정한 방식의 액세스를 제공한다고 합니다.
ADO를 쓰는 가장 큰 장점은 데이터 저장 형식에 상관없이 사용할 수 있으며 일정한 방식을 사용한다는 장점이 있습니다. ( Stream 객체 사용 )
ADO Method는 아래와 같습니다.
|
Cancel Method Close Method CopyTo Method Flush Method LoadFromFile Method Open Method (ADO Stream) Read Method ReadText Method SaveToFile Method SetEOS Method SkipLine Method Stat Method Write Method WriteText Method |
이중 SaveToFile을 보게되면 아래와 같은 사용방법을 알 수 있습니다.
출처 : MSDN
여기까지 읽으신 분들은 FSO와 ADO가 왜 Script Downloader와 연관이 있는지 궁금해 하실 수 있을 것 입니다.
다음장을 통해 왜 FSO와 ADO에 대해 언급했는지 살펴보겠습니다.
다음장 - http://runardor.tistory.com/9 ( Script Downloader 분석 - 2 )
'Analysis' 카테고리의 다른 글
| 메모리 교체형 악성 코드 분석 - 1 (0) | 2016.04.04 |
|---|---|
| Script Downloader 분석 - 4 ( XMLHTTP) (0) | 2016.04.01 |
| Script Downloader 분석 - 3 ( WINHTTP ) (0) | 2016.03.31 |
| Script Downloader 분석 - 2 (0) | 2016.03.30 |