[Qakbot 분석 (1)] 언패킹(Unpacking) - 매핑과 언매핑(Mapping&Unmapping)

Qakbot 악성코드를 차근차근 분석해보겠습니다.

이번 포스팅에서는 패킹되어 있는 파일을 언패킹하고, 언매핑된 형식과 매핑된 형식에 대해 알아보겠습니다.

샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.

 

 

[파일 정보 분석 및 추출]

VirusTotal에서 확인해보면 다음과 같은 정보를 얻을 수 있습니다.

• 오버레이(overlay)를 가지고 있습니다.
• Qakbot 악성코드입니다.
• 이상한 이름의 섹션이 있습니다.
  • 아마 패킹된 것 같습니다.

 

 

DIE로 확인하면 이 샘플이 Borland Delphi로 컴파일되었다는 것을 알 수 있습니다.

 

PE-bear로 확인해보면 export 함수가 하나(DLLRegistreServer)만 있습니다.

 

 

 

정보들을 조합해보니 해당 파일이 패킹되었다고 판단됩니다.

언패킹 데이터를 얻기 위해 디버깅해보겠습니다.

rundll32.exe를 통해 디버깅 세션을 설정하고 명령줄 바꾸기를 통해 악성코드와 export 함수(#1)를 인수로 전달합니다.

• "C:\Windows\SysWOW64\rundll32.exe" C:\Users\user\Desktop\mas2_sample.bin,#1

 

그리고 VirtaulAlloc, WriteProcessMemory, NtResumeThread API에 breakpoint를 설정하겠습니다.

• NtResumeThread 
  • 특정 스레드를 재개시키는 역할을 하는 함수입니다.
  • 스레드 흐름과 스레드가 실행되는 시점을 제어하는데 중요한 역할을 합니다.
  • 감염 제어를 유지하고 악성코드 실행 제어를 잃지 않기 위해 해당 API에 breakpoint를 설정하고 흐름을 분석합니다.

VirutalAlloc

WriteProcessMemory

NtResumeThread

 

breakpoint 설정 후 계속 실행(F9)하며 VirtualAlloc에서 breakpoint가 걸리면, EAX 레지스터에 저장된 주소를 덤프에서 따라가며 확인합니다.

그런데 VirtualAlloc의 breakpoint가 세 번째까지는 별로 필요 없는 정보들입니다. 그래도 실행을 계속하면 예외가 발생하는데 디버거로 넘기겠습니다(Shift+F9, RUN(pass all exceptions)).

 

그리고 계속 실행(F9)했는데 덤프에 MZ 데이터가 나오는 것을 발견했습니다.

근데 이 PE 바이너리에는 .text, .data, .mrdata, .rsrc, .reloc와 같은 섹션이 포함되어 있습니다. 이 중 .mrdata 섹션은 기본 섹션이 아니므로 더 나은 결과가 나올 가능성이 있으므로 계속 진행해보겠습니다.

 

다시 진행하면 새로운 PE 파일을 발견할 수 있습니다. 이 데이터를 확인해보면 헤더가 깨끗하지 않습니다. 그래서 이것도 유용한 정보는 아닙니다.

 

계속 실행(F9)하다 보면 디버거는 NtResumeThread의 breakpoint에 도착합니다. 이때 나타나는 PE 바이너리가 드디어 올바른 파일입니다.

 

해당 덤프 영역을 메모리맵에서 따라가서 해당 데이터를 파일로 저장하겠습니다.

그리고 또 다른 데이터를 얻기 위해서 계속 실행하겠습니다.

 

WriteProcessMemory의 breakpoint에 도달할 때까지 실행(F9)하여 도달하면 ZwUnmapViewOfSection에 breakpoint를 설정합니다.

 

 

그리고 실행을 계속하면 디버거가 ZwUnmapViewOfSection의 breakpoint에 도달하게 됩니다.

이 시점에서 ZwUnmapViewOfSection API에 대해 잠깐 설명해보자면,

• ZwUnmapViewOfSection
  • Windows 운영체제에서 사용되는 NT 시스템 호출(NT syscall) 중 하나로, 메모리 맵된 파일 또는 섹션을 언맵(unmap)하는데 사용됩니다.
  • 주로 메모리 관리와 관련된 시스템 수준의 작업을 수행할 때 사용됩니다.
  • 프로세스의 가상 주소 공간에서 특정 섹션을 언맵(즉, 메모리에서 제거)할 때 사용합니다.
  • 악성코드에서의 ZwUnmapViewOfSection는 기존 메모리에 맵핑된 파일이나 코드를 제거하여 파일을 숨기거나, 파일을 분석 불가능하게 만들기 위한 목적으로 사용할 수 있습니다. 탐지를 피하거나 동작을 숨기기 위해 사용됩니다.
• ZwUnmapViewOfSection 구조

NTSTATUS ZwUnmapViewOfSection(
    HANDLE ProcessHandle,		// 프로세스 핸들
    PVOID BaseAddress			// 언맵할 섹션의 시작 주소
);

 

언맵되는 뷰의 주소를 확인하기 위해 ZwUnmapViewOfSection의 두 번째 파라미터를 따라가보겠습니다.

• 뷰(View): 프로세스의 가상 메모리 공간에 매핑된 특정 섹션
  
  

 

두 번째 파라미터(0x50E0000)를 덤프에서 따라가보면 PE 데이터를 발견할 수 있습니다. 마찬가지로 파일로 저장하겠습니다.

 

 

 

[매핑(Mapping) 및 언매핑(Unmapping)]

매핑과 언매핑 형식의 특징은 다음과 같습니다.

• 매핑(Mapping)
  • 메모리 주소 공간에 직접적으로 연결하는 기술
  • 파일의 데이터를 메모리에서 직접 다룰 수 있게 해주는 방식
  • 매핑된 악성코드의 특징
    • 메모리 상에 파일을 매핑하여 디스크에서 추적하기 어렵게 만듭니다.
    • 매핑을 통해 API 호출을 우회하거나 난독화하여 분석을 어렵게 만듭니다.
      
      
• 언매핑(Unmapping)
  • 이미 매핑된 메모리 주소와 파일 간의 연결을 끊는 과정
  • 파일이나 장치가 더이상 메모리 주소 공간에 연결되지 않도록 하는 것
  • 매핑된 메모리 자원을 해제하고 해당 메모리 영역을 다시 다른 용도로 사용할 수 있게 됩니다.
  • 언매핑된 악성코드의 특징
    • 실행 후 파일을 메모리에서 제거하고 흔적을 없애는 방식으로 동작합니다.

 

 

지금까지 두 개의 파일을 추출했습니다. 두 파일은 모두 동일한 페이로드고 파일명은 다음과 같습니다.

• rundll32_047A0000_from_VirtualProtect.bin
• rundll32_050E0000_from_UnmapViewOfSection.bin

 

첫 번째 파일은 Qakbot의 언매핑된 버전이고 두 번째 파일은 Qakbot의 매핑된 버전입니다.

첫 번째 파일 rundll32_047A0000_from_VirtualProtect.bin의 .text 섹션은 0x400에서 시작하며 이는 언매핑된 형식의 특징입니다.

 

두 번째 파일 rundll32_050E0000_from_UnmapViewOfSection.bin의 .text 섹션은 0x1000에서 시작하며 매핑된 형식의 특징입니다.

 

 

PE-bear를 통해 확인해보면,

첫 번째 파일 rundll32_047A0000_from_VirtualProtect.bin은 imports 함수가 모두 나열됩니다.

 

두 번째 파일 rundll32_050E0000_from_UnmapViewOfSection.bin은 import table이 엉망입니다.

왜냐하면 raw 주소들이 여전히 언매핑된 형식의 디스크 주소를 반영하고 있기 때문입니다.

두 번째 파일 같이 매핑된 파일은 raw 주소를 반영해주면 해결할 수 있습니다.

 

매핑된 파일을 수정해보겠습니다.

1. 모든 virtual 주소를 raw 주소 위에 복사합니다.

2. 섹션 시작 주소들 간의 차이를 계산하여 raw size와 virtual size로 사용합니다.

 

3. 이미지 기본 주소(base address)를 변경해서 메모리의 기본 주소를 반영합니다.

image base는 디버거에서 파일을 추출할 때 변경 없이 저장했다면 파일명에 적혀져 있습니다.

저의 경우 image base가 0x50E0000입니다.

 

 

이 과정을 마치고 PE-bear의 imports를 확인해보면 예쁘게 잘 정리된 것을 볼 수 있습니다.

 

 

이렇게 매핑 및 언매핑된 파일 모두 언패킹이 마무리되었습니다. 두 파일 데이터는 모두 동일한 Qakbot 페이로드입니다.

다음에는 언패킹한 Qakbot DLL을 분석해보겠습니다.

 

 

 

Ref. "Malware Analysis Series(MAS) – Article 2", Alexandre Borges