x64dbg를 활용한 난독화 스크립트 분석 -2

본 작성자는 초급 분석가이며, 피드백 환영합니다.

이번 작성할 글은 x64dbg를 사용해서 JScript 분석하는 글 입니다.

목자

- 개요

- 분석

- 마치며

개요

해당 스크립트는 실행 시 바이너리가 다운받아지며 explorer.exe 에 코드인젝션을 한다.

본문에서는 바이너리 분석은 제외하며 난독화된 스크립트를 분석한다.

분석

아래는 분석할 파일 및 난독화된 스크립트 내용이다.

난독화를 풀려고 하였지만, 어려워서 x64dbg를 사용하여 분석하였다.

"명령줄 바꾸기"를 사용하여 분석할 JScript를 가져오자.

"C:\Users\Administrator\Desktop\Efax_Invoice.jse"

ShellExecute 함수에 BP를 걸기위해 shell32.dll 를 로드하고 InternetCreateUrl 함수에 BP를 걸기위해 wininet.dll 를 로드한다.

위 2개 DLL이 로드가 완료되면 비활성화 한다.

아직까지 공부 중이지만 왜 InternetCreateUrl 을 사용하는지 알아내지 못 했습니다.

InternetOpen, InternetOpenUrl 등 .. Internet 관련된 함수 전부 BP를 걸어봤지만 InternetCreateUrl 함수 한 개만 실행이 되었습니다.

아래는 BP가 실행된 InternetCreateUrl 함수이다.

위 그림은 난독화된 Url 문자열로 추정된다.

직접 난독화 해제시 위와 같은 Url 문자열들이 엄청 많았다.

난독화된 Url을 풀 시 위와같이 특정 Url에서 파일을 다운 받는 것으로 추정된다.

pluginup.rtf 는 (랜덤명).scr로 파일명이 변경되며 tmp 폴더에 생성이 되며 실행된다.

bin 파일을 특정 폴더에 생성된다.

마치며

아직 수정 중에 있습니다. 2018.07.15