본 작성자는 초급 분석가이며, 피드백 환영합니다.
이번 작성할 글은 x64dbg를 사용해서 JScript 분석하는 글 입니다.
목자
- 개요
- 분석
- 마치며
개요
해당 스크립트는 실행 시 바이너리가 다운받아지며 explorer.exe 에 코드인젝션을 한다.
본문에서는 바이너리 분석은 제외하며 난독화된 스크립트를 분석한다.
분석
아래는 분석할 파일 및 난독화된 스크립트 내용이다.
난독화를 풀려고 하였지만, 어려워서 x64dbg를 사용하여 분석하였다.
"명령줄 바꾸기"를 사용하여 분석할 JScript를 가져오자.
"C:\Users\Administrator\Desktop\Efax_Invoice.jse"
ShellExecute 함수에 BP를 걸기위해 shell32.dll 를 로드하고 InternetCreateUrl 함수에 BP를 걸기위해 wininet.dll 를 로드한다.
위 2개 DLL이 로드가 완료되면 비활성화 한다.
아직까지 공부 중이지만 왜 InternetCreateUrl 을 사용하는지 알아내지 못 했습니다.
InternetOpen, InternetOpenUrl 등 .. Internet 관련된 함수 전부 BP를 걸어봤지만 InternetCreateUrl 함수 한 개만 실행이 되었습니다.
아래는 BP가 실행된 InternetCreateUrl 함수이다.
위 그림은 난독화된 Url 문자열로 추정된다.
직접 난독화 해제시 위와 같은 Url 문자열들이 엄청 많았다.
난독화된 Url을 풀 시 위와같이 특정 Url에서 파일을 다운 받는 것으로 추정된다.
pluginup.rtf 는 (랜덤명).scr로 파일명이 변경되며 tmp 폴더에 생성이 되며 실행된다.
bin 파일을 특정 폴더에 생성된다.
마치며
아직 수정 중에 있습니다. 2018.07.15
'리버스 엔지니어링 > 난독화 스크립트 분석' 카테고리의 다른 글
PowerShell을 이용한 GandCrab 5.0.4 (FileLess) (0) | 2018.11.24 |
---|---|
GandCrab 4.3 Javascript 분석 (3) | 2018.08.14 |
x64dbg 자바스크립트 난독화 분석 (0) | 2018.08.04 |
x64dbg를 활용한 doc 난독화 스크립트 분석 (0) | 2018.07.15 |
x64dbg를 활용한 난독화 스크립트 분석 (0) | 2018.07.15 |