Lab #2 Making Malware using SFX Archive

Lab #2 Making Malware using SFX Archive

실습 목표

1. 백도어를 제작할 수 있다.

실습 준비물

1. VB로 제작한 Malware

2. 스크린세이버 파일 & 아이콘

3. OS (Victim, Hacker = Windows 7)

4. WinVNC.exe, vncviewer.exe, VNCHooks.dll

실습 방법

1.1. 기존 책을 이용한 방법

VB Script를 이용하여 악성코드를 감염시킨다.

run.vbs는 WinVNC.exe를 실행시키는데 이용되고 install.vbs는 run.vbs를 시작프로그램에 등록하여 부팅될때마다 실행되게 한다.

vbs파일과 vnc파일과 악성코드를 숨기기 위한 스크린세이버 파일과 함께 sfx로 압축한 후 감염시키는 방식이다.

1.2. 결과 & 문제점

위 사진과 같이 원격제어가 잘 진행되었다.

하지만 문제점들을 발견할 수 있었다.

1. vnc를 이용하면 단지 원격제어만 되고 다른 부가기능을 사용할 수 없다. (File Transfer, Chat 기능은 pro버전에서만 지원하는거같다.)

2. 너무 느리다. 오류도 많다..(오른쪽이 vnc원격제어, 왼쪽이 vmware pc화면입니다.)

3. 원격제어를 하게되면 victim이 해킹당하고 있다는걸 알고 pc를 강제종료 할 수도 있기때문에 backdoor처럼 victim의 pc에 몰래 숨어서 작업을 하는 일을 할 수 없다.

4. winvnc.exe -run → vncviewer.exe -listen의 순서로 진행 될 경우 vnc접속이 불가능하다. 그러므로 이전에 켜져있는 victim은 연결 할 수 없어서 여러 대의 victim을 관리할 수 없다.

2. 대응방법.

이러한 문제점을 보완하기 위해서 나는 VB로 백도어를 제작했다. 백도어에는 여러 대의 client를 관리할 수 있고, 원격제어, 명령 프롬포트, 파일제어, 프로세스제어를 추가시켰다.

백도어 감염방식은 책에서 나온 방식인 스크린세이버로 위장하여 vbs script로 시작프로그램에 등록하고 backdoor를 실행시킨 후 스크린세이버로 위장하는방식이다.

3. 과정 & 결과

3-1. 새로운 backdoor에 맞게 VB Script 수정

backdoor에 시작프로그램 등록코드가 있기때문에 vb script에서 주석처리함 run.vbs는 삭제 나머지는 동일

3.2.1. SFX파일 생성

SFX압축을 할 파일들을 선택한 후 "압축파일에 추가하기"를 선택함

3.2.2.

압축파일 이름을 적음. 압축 옵션에서 "자동풀림(SFX) 압축파일 생성"을 체크함

3.2.3.

고급 탭으로 이동하여 오른쪽 "SFX 옵션" 메뉴 진입

3.2.4.

일반 탭에서 압축 풀 경로에 "%windir%\system32" 를 입력 (해당 결로는 윈도우 폴더 아래에 존재하는 시스템 폴더의 경로로 기본적으로 모든 OS에서 환경변수로 Path 설정이 되어 있기에 해당 폴더에 있는 파일은 어디서나 실행하기에 쉽다. -해킹의 비밀을 푸는 KEY 15), "절대 경로에 생성"에 체크

3.2.5.

설치 탭으로 이동하여 "압축 푼 후 실행" 박스에 install.vbs를 적어서 압축이 풀린 후 바로 install.vbs가 실행되어 backdoor와 스크린세이버가 실행될 수 있게 함.

3.2.6.

모드 탭으로 이동하여 "사일런트 모드" 에서 모두 숨기기 체크 (압축 구성 파일들이 설치되는 과정을 숨김.)

3.2.7.

업데이트 탭으로 이동하여 "업데이트 모드"에서 "압축 풀고 파일 교체" 체크. "덮어쓰기 모드"에서 "모든 파일 덮어쓰기" 체크. 

(위 두 과정도 압축을 풀때 같은 파일이 있을경우 사용자에게 물어보지 않고 덮어쓸 수 있도록 해줌)

3.2.8.

마지막으로 아이콘을 설정해서 스크린세이버로 위장함

3.3.1. 

성공적으로 생성된 SFX파일

3.3.2.

확장자를 .exe 에서 .scr로 바꿔준다. (.src 확장자를 가진 파일은 원래 스크린세이버 파일로 인식되나 exe의 실행 파일 구조와 같아 파일을 실행하는데 아무런 문제가 없다. -해키의 비밀을 푸는 KEY 15)

3.4. 실행 결과

자세한 실행 결과는 동영상 참고

------------

번외

------------

3.3.2. 에서 스크린세이버 파일 확장자와 exe 파일 확장자가 실행구조가 같은것이 신기해서 Hex Viewer 로 직접 확인해봄.

SFX로 압축한 ScreenSaver.exe 파일 PE구조

screenSaver.scr 파일 PE 구조