cuckoo를 활용한 악성 의심파일 분석

1. 파일 동작 순서

schtasks.exe 명령에 의해 xml 파일을 생성하고 예약 작업에 등록되며, svchost.exe를 실행한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	service.exe
파일크기	517kb
진단명	Trojan/Win32.MSIL.R192125 (V3)
악성동작	C&C서버와 통신 (신용카드정보 유출)

 

구분	내용
파일명	svchost.exe
파일크기	156kb
진단명	Trojan/Win32.Agent.C792331 (V3)
악성동작	신용카드정보 수집

   

2-2. 프로세스 정보

service.exe와 svchost.exe 두 개의 프로세스를 생성한다.

 

2-3. 생성파일 정보

파일 종류	파일명
실행파일	C:\Users\cuckoo\AppData\Local\Temp\svchost.exe
data	C:\Users\cuckoo\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\임의파일명
data	C:\Users\cuckoo\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\임의파일명
data	C:\Users\cuckoo\AppData\Local\Temp\TarDE29.tmp
xml	C:\Users\cuckoo\AppData\Local\Temp\z297
실행파일	C:\Users\cuckoo\AppData\Roaming\svchost.exe

 

2-4. 레지스트리 정보

구분	경로
생성	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\JavaSEPlatformUpdater

 

 

3. 파일 동작

3-1. 예약 작업 등록

xml 파일을 생성 후 schtasks.exe를 통해 예약 작업에 등록하고, svchost.exe 로그온 시 작업이 실행된다.

 

3-2. 카드정보 수집

svchost.exe에 의해 메모리상에 있는 카드정보를 수집한다.

 

3-3. 카드정보 유출

service.exe를 통해 c&c 서버로 카드정보가 유출된다.

※ 메모리상에 카드정보가 없는 경우 mac 주소만 c&c서버로 전송

 

                                            [c&c서버 위치]