WEBVTT 00:00.500 --> 00:02.990 안녕하세요, 새 섹션에 오신 것을 환영합니다. 00:03.770 --> 00:12.470 이 새로운 세션에서는 Zloader 트로이 목마의 포장을 풀고, 다음은 Zloader 트로이 목마에 대한 글입니다. 00:12.710 --> 00:20.660 지로더 트로이목마는 2006년부터 은행 업계를 강타한 제우스 멀웨어 트로이목마의 00:20.660 --> 00:28.040 변종으로, 최근 100개가 넘는 공격 캠페인에 사용되었습니다. 00:28.490 --> 00:36.620 지로더는 최근 제우스의 화신들도 사용하고 있는 코로나19 미끼가 포함된 이메일을 사용합니다. 00:36.740 --> 00:44.540 한 걸음 더 나아가 Zloader는 악성 이력서, 송장, Excel 첨부 파일과 같은 다른 미끼도 00:44.810 --> 00:46.040 사용합니다. 00:46.990 --> 00:53.430 2020년 5월 20일 기준, 연구원들은 매일 한 개의 새로운 Zloader 캠페인을 발견하고 있습니다. 00:53.440 --> 00:55.000 Zloader 작동 방식. 00:55.030 --> 01:01.240 Zloader는 공격적인 이메일 캠페인을 통해 확산되며, 이메일에는 코로나19 또는 01:01.240 --> 01:09.430 구직을 언급하는 자극적인 제목의 악성 첨부파일과 감염된 Microsoft Word 파일 링크가 포함된 청구서가 포함되어 01:09.430 --> 01:10.750 있습니다. 01:10.930 --> 01:17.200 인보이스 이메일의 경우 사용자가 문서의 '콘텐츠 사용' 버튼을 클릭하면 멀웨어 설치 01:17.200 --> 01:19.810 프로그램이 다운로드됩니다. 01:19.930 --> 01:22.240 이것이 Zloader에 대한 배경 설명입니다. 01:23.390 --> 01:27.950 리소스 섹션에서 Zloader 끝부분을 다운로드하여 압축을 풉니다. 01:27.980 --> 01:36.350 바탕화면의 Zloader라는 폴더에 넣으면 Zloader가 파일, 동적 링크 라이브러리임을 알 수 있습니다. 01:37.070 --> 01:40.300 이제 PE 스튜디오를 살펴보겠습니다. 01:41.660 --> 01:45.770 그러니 플레어 유틸리티에서 PE 스튜디오를 열어보세요. 01:49.320 --> 01:52.020 그리고 Zloader를 PE Studio로 드래그합니다. 01:52.920 --> 01:56.610 여기서 엔트로피가 6임을 알 수 있습니다. 432. 01:57.690 --> 01:59.190 하지만 이는 상당히 오해의 소지가 있습니다. 01:59.760 --> 02:02.970 7개 미만이므로 포장이 풀린 상태입니다. 02:03.000 --> 02:05.070 실제로는 꽉 차 있습니다. 02:05.100 --> 02:06.840 32비트 프로그램입니다. 02:07.410 --> 02:19.200 그리고 여기 파일 헤더에 컴파일러 스탬프가 2020년 4월 24일로 표시되어 있습니다. 섹션: . 텍스트, . 데이터, . 02:19.200 --> 02:21.800 데이터, . rsrc, . reloc. 02:24.110 --> 02:24.850 라이브러리. 02:25.010 --> 02:25.980 세 개의 라이브러리. 02:26.000 --> 02:32.270 kernel32, user32, advapi32를 포함하며 약 100개의 임포트를 포함합니다. 02:34.020 --> 02:36.070 다음은 몇 가지 수입품입니다. 02:36.090 --> 02:36.990 꽤 많이 있습니다. 02:36.990 --> 02:38.250 수입 100건. 02:42.430 --> 02:45.700 IsDebuggerPresent도 있는 것을 볼 수 있습니다. 02:46.600 --> 02:55.540 리소스에서 문자열 테이블, 버전 및 매니페스트를 볼 수 있습니다. 문자열 아래, 대부분 암호화되어 있습니다. 03:00.030 --> 03:09.130 이는 압축된 실행 파일이라는 사실에 신뢰성을 부여합니다. 버전은 1입니다. 1. 0. 0. 03:09.150 --> 03:15.870 회사 이름은 TheMusicSim입니다. TheMusicSim을 파일 설명으로 사용합니다. 03:16.890 --> 03:20.820 이제 x32dbg로 포장을 풀어보겠습니다. 03:21.780 --> 03:24.300 그러니 x32dbg를 실행하세요. 03:27.510 --> 03:32.820 옵션, 환경설정에서 시스템 중단점 및 항목 중단점을 선택 취소합니다. 03:33.840 --> 03:37.080 저장을 클릭한 다음 트로이 목마를 엽니다. 03:43.320 --> 03:50.190 즉시 DLL을 로드하기 위해 rundll32가 실행됩니다. 03:50.220 --> 03:52.050 이는 매우 정상적인 현상입니다. 03:52.050 --> 03:52.950 그냥 내버려 두세요. 03:55.470 --> 03:57.750 이제 몇 가지 중단점을 설정하겠습니다. 03:58.860 --> 04:01.490 첫 번째 중단점은 VirtualAlloc입니다. 04:04.830 --> 04:05.190 Enter 04:05.190 --> 04:05.730 키를 누릅니다. 04:07.960 --> 04:09.130 중단점 탭을 클릭합니다. 04:09.520 --> 04:11.590 중단점을 주시하세요. 04:11.920 --> 04:14.830 두 번째 중단점은 VirtualProtect입니다. 04:18.970 --> 04:19.660 Enter 키를 누릅니다. 04:23.200 --> 04:27.130 세 번째 중단점은 CreateProcessInternalW입니다. 04:32.200 --> 04:43.690 Enter 키를 누릅니다. 네 번째 중단점은 IsDebuggerPresent입니다. 04:44.470 --> 04:45.310 다음. 04:46.920 --> 04:54.030 중단점 탭으로 이동하여 모든 중단점이 설정되었는지 확인합니다. 04:56.080 --> 05:00.100 그런 다음 CPU로 이동하여 실행 또는 F9를 누릅니다. 05:04.850 --> 05:06.320 그리고 이제 실행 중입니다. 05:06.350 --> 05:09.770 코드를 풀려면 시간이 좀 걸립니다. 05:10.830 --> 05:12.180 그러니 그냥 실행하세요. 05:14.100 --> 05:16.500 마지막으로 중단점에 도달했습니다. 05:16.530 --> 05:17.820 VirtualAlloc. 05:18.480 --> 05:20.610 그래서 우리는 이 문제를 극복할 수 있습니다. 05:23.610 --> 05:29.040 VirtualAlloc으로 이동한 다음 여기에서 호출로 이동합니다. 05:29.100 --> 05:33.510 VirtualAlloc 호출. 그 위로 올라가서 보세요. 05:34.530 --> 05:36.030 덤프에서 이 내용을 따르겠습니다. 05:36.070 --> 05:44.940 마우스 오른쪽 버튼을 클릭하고 현재 여기 1번 덤프인 덤프를 따라간 다음 F9를 눌러 다시 실행합니다. 05:46.680 --> 05:48.630 VirtualAlloc에 두 번째로 충돌합니다. 05:49.140 --> 05:50.310 다시 한 번 넘어갑니다. 05:52.560 --> 05:59.220 가상 할당 호출로 오세요. 한 걸음 다가가서 보세요. 05:59.880 --> 06:02.040 이번에는 두 번째 덤프를 따라가 보겠습니다. 06:02.070 --> 06:03.690 따라서 두 번째 덤프를 선택합니다. 06:04.110 --> 06:06.810 마우스 오른쪽 버튼을 클릭하고 덤프에서 팔로우합니다. 06:07.470 --> 06:10.380 그리고 이제 두 번째 덤프에서 그 뒤를 따르고 있습니다. 06:10.530 --> 06:15.570 한편, 1번 덤프에는 셸코드가 채워져 있는 것을 볼 수 있습니다. 06:17.470 --> 06:18.240 두 번째 덤프는 아직 06:18.280 --> 06:19.270 비어 있습니다. 06:20.170 --> 06:22.300 이제 다시 F9를 누릅니다. 06:22.450 --> 06:23.980 또는 여기 이 아이콘을 클릭하세요. 06:26.110 --> 06:31.270 가상 할당에 세 번째로 부딪혔으니 다시 한 번 살펴보겠습니다. 06:33.400 --> 06:46.060 뛰어넘고, 뛰어넘고, 뛰어넘어 이 VirtualAlloc 호출에 도달할 때까지 다시 한 번 뛰어넘어 -를 살펴봅니다. 06:46.390 --> 06:52.120 이번에는 3번 덤프에서 이를 따라가려고 하므로 3번 덤프를 클릭합니다. 06:52.690 --> 06:56.740 따라서 등록을 마우스 오른쪽 버튼으로 클릭하고 덤프에서 팔로우를 선택합니다. 06:57.790 --> 06:59.980 이제 세 번째 덤프를 따라갑니다. 07:00.010 --> 07:04.600 한편, 두 번째 덤프에는 일부 셸코드가 채워져 있습니다. 07:05.350 --> 07:06.490 현재 1번과 2번을 07:06.490 --> 07:10.420 덤프하면 압축이 풀린 코드를 찾을 수 있습니다. 07:12.550 --> 07:17.620 이제 3번 덤프가 생성되었으므로 F9를 클릭하여 다시 실행합니다. 07:18.970 --> 07:22.360 그리고 이번에는 VirtualProtect를 공격합니다. 07:22.780 --> 07:30.220 이 시점에서 잠시 멈추고 다음 동영상에서 계속 설명하겠습니다. 07:31.150 --> 07:32.390 시청해 주셔서 감사합니다.