세 개의 문자열을 해독하고 함께 배치하면 전역 변수 qword_1B0E4A10 저장되는 마법 문자열 “포이즌 아이비 C++”를 얻습니다. 아래 코드 조각에서이 문자열을 만드는 방법을 볼 수 있습니다. FortiGuard 안티 바이러스 서비스는 MSOFFICE / PoisonIvy.a!tr.dldr및 “Thumbs.bmp”로 파일 “Payment_Advice.ppsx”를 감지했다 MSOFFICE / PoisonIvy.A!tr. 최근, FortiGuard 연구소 연구 팀은 포이즌 아이비의 새로운 변종이 손상된 파워 포인트 파일을 통해 확산되고 있음을 관찰했다. 우리는 OOXML 형식의 Payment_Advice.ppsx라는 파워 포인트 파일을 캡처했습니다. 피해자가 MS PowerPoint 프로그램을 사용하여 이 파일을 열면 파일에 포함된 악성 코드가 실행됩니다. 그것은 피해자의 컴퓨터에 포이즌 아이비 악성 코드를 다운로드 한 다음 그것을 시작합니다. 이 블로그에서, 어떻게 이런 일이 의 세부 사항을 보여 드리겠습니다., 어떤 기술은이 악성 코드에 의해 사용 됩니다., 피해자의 컴퓨터에 무엇을. 이 150 슬라이드 파워 포인트 쇼는 당신이 식별하고 포이즌 오크, 독 수막의 모든 형태를 다루는에 대해 알아야 할 모든 클래스를 가르 칠 수 있습니다. 그림 8.
“ntdll” 그림 14에서 내보낸 API에 대한 중단점을 확인합니다. 암호화 된 C&C IP 주소와 내 분석을 통해 붙여 넣기에 포트 나는 주입 된 코드와 데이터가 전체 악성 코드를 나타내는 것을 볼 수 있었다. 그것은 모두 svchost.exe 프로세스에서 다시 시작됩니다. 내가 검토 한 모든 것은 svchost.exe에서 반복됩니다. 예를 들어, 안티 분석 검색 코드를 실행, 매직 문자열을 가져오고, 이중 으로 연결된 목록을 만들고, 6개의 모듈을 해독하고, 이중 으로 연결된 목록에 추가하는 등의 등입니다. 그림 16. 피해자의 시스템에서 수집 된 정보 그림 7. .Net 프로그램은 거대한 배열에서 코드를 실행하는 스레드를 실행이들은이 악성 코드가 안티 분석을 수행하는 모든 방법입니다. 이러한 검사의 대부분은 자체 스레드에서 실행되며 매초마다 호출됩니다. 그런 다음 검사가 일치하는 경우 프로세스를 종료합니다.
명명된 파이프 중 하나를 작성할 수 없는 경우 해석 도구 중 하나가 실행 중임을 의미합니다. 그런 다음 그 후 곧 프로세스를 종료합니다. E7931270A89035125E6655C04FEE0798C4C2D15846947E41DF6BBA36C75AE, 먼저 “30001” 명령을 보내고 서버는 “300001”명령을 보냅니다. 명령 “30003”피해자의 시스템 정보를 수집 하는 클라이언트를 요청 합니다. 맬웨어가 이 명령을 받으면 시스템 정보를 수집하기 위해 수많은 API를 호출합니다. 그림 4. 시작 폴더의 Thumb.vbs 및 그 내용 Thumbs.vbs 는 hxxp://203.248.116.182/images/Thumbs.bmp 파일을 다운로드하고 msiexec.exe를 사용하여 실행합니다. 아시다시피, msiexec.exe는 마이크로소프트 윈도우 설치 프로그램, 의 기본 처리기는 . MSI 파일.
Msiexec.exe 는 Windows에서 소프트웨어를 설치/제거/업데이트하는 데 사용할 수 있습니다. MSI 파일은 설치 프로그램 패키지입니다. 그것은 msiexec.exe에 의해 로드 될 때 실행되는 PE 파일 (스트림)을 포함합니다. 이 PE 파일은 AV 소프트웨어 검색을 우회하기 위해 맬웨어로 대체될 수 있습니다. 우리는 또한 점점 더 많은 악성 코드 작성자 그들의 악성 코드를 실행 하기 위해이 방법을 사용 하 여 시작 했다 관찰. MSI 파일은 마이크로소프트 OLE 복합 파일 형식입니다. 그림 5에서는 DocFile 뷰어에서 다운로드한 Thumbs.bmp 파일 콘텐츠를 볼 수 있습니다. 즉, 사용자의 마우스가 이 요소 위로 마우스를 가져가면 slide1.xml.rels 파일에서 “rId2″라는 이름이 실행됩니다. 이 악성 코드의 분석을 계속하려면, 우리는 먼저 이러한 검사를 건너 뛸 수 있습니다. 이를 위해 코드를 동적으로 수정할 수 있습니다.