WEBVTT 00:00.590 --> 00:02.990 안녕하세요, 새 섹션에 오신 것을 환영합니다. 00:03.170 --> 00:07.550 이번에는 트릭봇 트로이 목마의 포장을 풀겠습니다. 00:07.550 --> 00:14.660 이제 Trickbot 트로이 목마를 다운로드하여 압축을 풀고 바탕 화면의 Trickbot 트로이 목마라는 폴더에 00:14.690 --> 00:15.410 넣으세요. 00:16.360 --> 00:16.870 그 후 00:17.260 --> 00:19.000 플라이 폴더를 엽니다. 00:19.030 --> 00:20.410 유틸리티로 이동합니다. 00:21.480 --> 00:24.660 감지된 것을 사용하겠습니다. 00:24.690 --> 00:27.450 포장이 잘 되었는지 쉽게 확인할 수 있습니다. 00:28.390 --> 00:30.260 따라서 실행이 감지되었습니다. 00:30.310 --> 00:30.600 간단합니다. 00:32.940 --> 00:40.440 그런 다음 여기에 있는 점 세 개를 클릭하여 바탕화면에 있는 트로이 목마 폴더로 이동합니다. 00:43.590 --> 00:46.080 트릭봇 바이너리를 엽니다. 00:49.030 --> 00:49.840 이쪽입니다. 00:49.840 --> 00:53.650 패커가 있는지 또는 보호 기능이 있는지 여부는 표시되지 않습니다. 00:54.100 --> 00:55.390 엔트로피를 클릭합니다. 00:56.790 --> 01:01.350 여기에 85% 포장되었다는 상태가 표시됩니다. 01:01.680 --> 01:03.240 그래서 우리는 그것이 꽉 차 있다는 것을 알고 있습니다. 01:03.240 --> 01:13.740 이제 Xdebug 32를 통해 Xdebug를 사용하여 압축을 해제해 보겠습니다. 01:14.190 --> 01:17.640 옵션 메뉴에서 환경설정을 클릭합니다. 01:17.670 --> 01:22.320 시스템 중단점을 선택 취소하고 콜백 취소를 선택 취소합니다. 01:22.890 --> 01:34.920 그런 다음 예외에서 범위 무시를 클릭하고 시작 범위는 0을 8개, 끝 범위는 주요 ETF를 입력합니다. 01:36.570 --> 01:38.580 확인 버튼을 누르고 저장을 클릭합니다. 01:39.390 --> 01:42.630 이제 트로이 목마를 엽니다. 01:46.400 --> 01:50.810 드롭다운 목록을 클릭하고 모든 파일을 선택한 다음 트릭봇을 클릭합니다. 01:53.080 --> 01:55.900 이제 그가 우리의 진입 지점에 도달한 것을 볼 수 있습니다. 01:58.550 --> 02:01.520 다음으로 몇 가지 중단점을 설정하겠습니다. 02:01.610 --> 02:05.090 그래서 우리가 설정한 첫 번째 중단점은 가상 할당입니다. 02:10.160 --> 02:11.000 그가 들어왔나요? 02:12.050 --> 02:14.150 두 번째 중단점은 02:14.850 --> 02:17.360 내부 프로세스 만들기 w. 02:23.570 --> 02:31.490 Createprocess 내부 W는 멀웨어가 새로 생성된 프로세스에 연결을 시도하는 곳입니다. 02:31.490 --> 02:37.850 또는 특정 기능을 실행하기 위해 자체적으로 새 프로세스를 생성할 수도 있습니다. 02:37.880 --> 02:38.840 Enter 키를 누릅니다. 02:39.710 --> 02:43.910 세 번째는 쓰기 프로세스 메모리에 대한 중단점입니다. 02:44.510 --> 02:47.540 쓰기 프로세스 메모리. 02:47.690 --> 02:56.060 올바른 프로세스 메모리는 멀웨어가 은밀하게 숨기려고 코드의 일부를 해당 프로세스 메모리에 복사하여 02:56.060 --> 03:00.710 기존 프로세스를 탈취하려고 시도하는 API입니다. 03:01.340 --> 03:02.030 Enter 키를 누릅니다. 03:02.930 --> 03:10.940 그런 다음 중단점을 클릭하여 명시된 대로 중단점 세 개가 있는지 확인합니다. 03:11.270 --> 03:17.120 가상 할당 프로세스 내부 W를 생성하고 프로세스 메모리를 작성합니다. 03:18.380 --> 03:32.390 그 후 F9를 누르면 가상 잠금에 도달합니다. 가상 잠금으로 넘어가려면 F8 또는 여기에 있는 이 버튼을 누르세요. 03:36.150 --> 03:36.500 알겠습니다. 03:36.510 --> 03:44.640 이 호출이 끝나면 메모리에 할당된 주소에 대한 호출이 레지스터에 반환됩니다. 03:44.970 --> 03:50.460 이에 대해서는 이전 레슨 문서도 참고하시기 바랍니다. 03:50.490 --> 03:52.040 이미 잊어버린 경우. 03:52.050 --> 03:54.960 이제 한 번 살펴봅시다. 03:54.960 --> 04:02.310 반환 주소는 3 2 뒤에 0이 4개이므로 마우스 오른쪽 버튼을 클릭하고 덤프에서 팔로우하면 됩니다. 04:03.670 --> 04:07.420 이제 Dynamo에서 클릭 한 번으로 다시 실행할 수 있습니다. 04:08.480 --> 04:09.290 이제 어떻게 할까요? 04:09.290 --> 04:09.680 허용됩니다. 04:09.680 --> 04:10.550 다시 한 번 말씀드립니다. 04:11.000 --> 04:16.130 그 위로 올라가 가상 에어록으로 이동하고 다시 점프하여 에어록을 시청하세요. 04:17.630 --> 04:21.300 이제 두 번째로 가상 잠금을 호출합니다. 04:21.320 --> 04:25.190 어떤 주소가 할당되고 있는지 확인해 보겠습니다. 04:25.610 --> 04:30.500 이번에는 이 메모리 영역에 3, 3, 3, 4의 0을 할당합니다. 04:30.530 --> 04:35.150 메모리에서 이를 따라가기 전에 첫 번째 덤프를 살펴봅시다. 04:35.630 --> 04:39.800 보시다시피 첫 번째 덤프는 일부 셸코드로 채워져 있습니다. 04:40.130 --> 04:48.200 따라서 나중에 주요 IT의 추가 포장을 풀 때 도움이 되도록 특정 셸 코드를 풀었습니다. 04:48.920 --> 04:51.200 아래 두 번째에서 이를 따라가 보겠습니다. 04:51.230 --> 04:57.560 메모리에서 2번 덤프를 클릭한 다음 이 주소를 마우스 오른쪽 버튼으로 클릭하고 덤프를 따라가 보겠습니다. 04:57.560 --> 04:59.750 이제 두 번째 덤프에서 이를 따라갑니다. 04:59.900 --> 05:01.490 현재는 비어 있습니다. 05:01.520 --> 05:03.650 이제 가상 잠금을 다시 실행해 보겠습니다. 05:04.320 --> 05:07.410 그리고 다시 가상 에어록에 부딪힙니다. 05:07.410 --> 05:15.690 그리고 이번에는 셸 코드에 대한 추가 코드가 포함된 Damtew의 압축이 풀린 것을 볼 수 있습니다. 다시 말하지만, 05:15.690 --> 05:21.000 이것은 악성코드가 최종 exe 파일의 압축을 푸는 데 사용됩니다. 05:22.380 --> 05:24.930 이제 이 가상 자물쇠를 넘어서 보겠습니다. 05:26.550 --> 05:35.220 계속 밟고 점프한 다음 여기 호출로 와서 이 호출을 밟고 X를 보세요. 05:35.310 --> 05:40.260 이 영역에 8개의 메모리와 4개의 0이 더 할당됩니다. 05:40.260 --> 05:46.050 따라서 세 번째 게임에서 이 게임을 따라가서 그 뒤에 있는 이 게임을 마우스 오른쪽 버튼으로 클릭합니다. 05:47.040 --> 05:52.320 이제 덤프 2를 보면 덤프 2가 채워지고 덤프 3은 비어 있습니다. 05:53.100 --> 05:56.100 이제 한 번 더 해보겠습니다. 05:56.100 --> 05:56.700 실행. 06:00.410 --> 06:09.380 createprocess 내부 w에 대한 중단점에서 중지되었으므로 이 API를 사용하여 Windows Defender를 06:09.380 --> 06:13.550 중지하기 위해 cmd 명령을 실행하고 있습니다. 06:14.540 --> 06:17.570 이제 이 문제를 해결해야 합니다. 06:18.770 --> 06:22.430 적어도 이제 우리는 그것이 바이러스 백신을 중지하려고 한다는 것을 알고 있습니다. 06:22.760 --> 06:24.050 그러니 다시 실행하세요. 06:25.950 --> 06:29.100 이번에는 동일한 중단점에 도달합니다. 06:29.130 --> 06:35.070 Create 프로세스 내부 w를 생성하면 이제 Windows Defender 서비스를 삭제하려고 합니다. 06:36.590 --> 06:37.430 실행을 다시 클릭합니다. 06:38.510 --> 06:44.960 같은 일이 내부 W 생성 프로세스에서도 발생하며 이번에는 PowerShell 명령을 사용하여 실시간 모니터링을 06:44.960 --> 06:47.210 비활성화하려고 합니다. 06:48.410 --> 06:49.550 다시 실행을 누르세요. 06:50.930 --> 06:51.620 이번엔 06:51.620 --> 06:55.430 이제 이 위치에 파일을 드롭하려고 합니다. 06:56.080 --> 07:02.920 따라서 파일 이름은 이 위치에 있는 JKL, Vtt dot FC입니다. 07:02.950 --> 07:06.740 이 위치는 Appdata 로밍 폴더입니다. 07:06.760 --> 07:10.510 이제 거기로 가서 어떤 파일인지 확인해 볼 수 있습니다. 07:10.810 --> 07:15.550 왼쪽 하단에 있는 창 아이콘을 클릭합니다. 07:16.300 --> 07:21.940 그런 다음 여기에 실행을 입력하고 실행을 클릭합니다. 07:22.090 --> 07:30.490 그리고 여기 환경 변수 백분율 앱 데이터 백분율에 있습니다. 07:30.730 --> 07:36.580 따라서 이 환경 변수 셸 변수는 이 위치를 참조합니다. 07:37.560 --> 07:38.730 앱데이터 로밍. 07:38.910 --> 07:41.640 따라서 확인을 클릭하면 해당 폴더가 열립니다. 07:42.900 --> 07:48.390 이제 이 로밍 폴더에 들어가면 W 네트워크를 엽니다. 07:49.230 --> 07:50.820 W 네트워크가 바로 이 네트워크입니다. 07:51.870 --> 07:54.810 그리고 이것이 트로이 목마가 드롭한 파일입니다. 07:55.320 --> 08:03.810 따라서 이 파일이 트릭봇 자체와 동일한 파일인지 확인하기 위해 동일한 파일인지 확인해 보겠습니다. 08:04.260 --> 08:06.480 해시 파일을 사용합니다. 08:06.510 --> 08:12.480 여기에서 시작을 클릭하고 내 파일 해시를 찾습니다. 08:12.960 --> 08:14.010 바로 이거예요. 08:14.860 --> 08:24.970 그런 다음 이것을 클릭하면 이제 MD5 유틸리티를 사용하여 이 파일의 MD5를 생성합니다. 08:26.900 --> 08:29.000 이제 이 파일의 MD5를 얻었습니다. 08:29.330 --> 08:32.750 트릭봇도 마찬가지입니다. 08:35.670 --> 08:43.620 이 파일을 여기로 드래그하면 트릭봇의 MD5가 생성되고 동일한 MD5 해시를 볼 수 있습니다. 08:43.620 --> 08:47.160 즉, 이 파일은 트릭봇과 동일합니다. 08:47.490 --> 08:49.110 그렇다면 왜 이렇게 될까요? 08:49.560 --> 08:52.290 은밀성을 높이기 위해 이 작업을 수행합니다. 08:53.040 --> 08:57.150 이는 대부분의 트로이 목마가 하는 행동의 일부입니다. 08:57.900 --> 09:03.500 처음 실행하면 처음 로드된 위치에서 스스로 복사합니다. 09:03.510 --> 09:06.840 예를 들어 다운로드 폴더에서 로드되었습니다. 09:06.870 --> 09:14.220 그런 다음 숨겨진 위치, 즉 은밀한 위치에 자신을 복사하여 나중에 처음 다운로드한 09:14.220 --> 09:19.890 원래 위치가 아닌 이 위치에서 실행되도록 합니다. 09:20.370 --> 09:26.220 이제 우리는 이 파일이 트릭봇 프로그램 자체, 즉 원본 파일과 동일한 파일이라는 것을 알았습니다. 09:26.460 --> 09:33.390 따라서 트로이 목마가 실행되기 전에 먼저 이 스텔스 위치에 있는지 확인한 09:33.390 --> 09:37.920 후 실행을 진행하거나 계속 실행할 것입니다. 09:38.190 --> 09:44.140 이 영상은 여기서 잠시 멈추고 다음 영상에서 분석을 이어가겠습니다. 09:44.160 --> 09:45.540 시청해 주셔서 감사합니다.