쉘코드 디버깅 분석 실습_쉘코드 문자열

앞서 이 쉘코드는

인터넷 연결을 통해 데이터를 다운로드 후 메모리 공간에 적재하고

Http통신을 통해 C2통신을 함을 알았음

 

정확히 어떤 도메인을 통해 통신을 하는 것인지 추가적으로 분석

문자열 분석

Hex Editer로 분석하면, /iWWE라는 데이터가 보임

이는 HTTP의 URL패턴

또한, baidu.com이라는 도메인 또한 보임

이곳에서 공격이 이루어짐을 짐작할 수 있음

User-Agent라는 데이터를 추가로 발견

이는 Http 요청 메시지의 헤더값 중 하나

요청 시 브라우저의 버전 및 종류를 나타냄

이를 통해 쉘코드는 HTTP 요청을 사용하고 있음을 예상할 수 있음

직접적인 IP 데이터가 보임

이는 C2 시스템의 아이피일 가능성이 매우 높음

 

하지만 이는 어디까지나 예상하는 정보로, 정확한 정보는 아님

때문에 동적으로 실행시켜 예상한 정보대로 쉘코드가 실행되는지 확인해야 함

이를 위해 scdbg를 사용함

scdgb는 쉘코드 분석을 위한 동적 분석 도구로,

가상 메모리 공간을 생성 후 쉘코드를 직접 실행

그 후 사용한 API 및 함수 정보를 수집하여 표기하는 도구

scdbg를 실행 시 예상했던 대로 쉘코드가 동작하는 것을 확인할 수 있음

단, 어디까지나 scdbg는 제한된 환경에서의 동작을 보는 것임

이는 특정 조건을 맞춰야 동작하는 쉘코드는 동작이 안될 가능성이 높음

때문에 이러한 특정 조건 부분을 임의로 조작하여 강제로 실행되게 만들거나 해야함