WannaCrypto 웜 분석

 

beginthreadex 함수를 실행하는 407720 이 주소를 올리디버거에서 따라가보자!!

 

 

여기서 강제로 프로그램 실행을 이 줄부터 실행되게 할 거기 때문에 오른쪽 클릭해서 New origin here를 클릭한다.

 

 

407720 주소 안에 들어가보면 adapter info를 받는 이 함수를 호출하는걸 볼 수 있는데, 이 부분을 올리디버거에서 한번 분석해보자.

주소값 409160을 찾아보자

 

 

bp 걸고 보면 409173에서 GetAdapterInfo 함수 call 하는 부분이 보인다.

 

 

이때 이 부분(inet)을 잘 봐야되는데

 

 

여기서 EDX에 주소값이 보임. (192.168.56.102)

이게 자신의 IP 값을 구하고

 

 

여기는 네트워크 대역대인 255.255.255.0을 구함!

 

 

이제 다시 407720로 다시 들어가보자.

여기서 쭉 실행을 하다가 보면 beginThreadEx를 call 하는 부분이 나온다.

 

 

이 부분을 아이다에서 확인해보면

밑으로 내려가사보면 4076B0 더블클릭해서 자세히 봅시다.

 

 

여기서 SMB 공격이 이루어지고 있다.

대역대를 구해서 공격하는 부분!!

 

 

이 부분이 실질적으로 공격하는 루틴으로 보임

 

이 함수 안을 들어가보면

 

 

또 안에 함수가 있음

함수안에 함수안에 함수안에 함수... (마트료시카 함수 ㅎ..)

 

여기 함수를 암튼 들어가서

그래프로 보여주기 누르면

 

이렇게 나옴

그럼 소켓을 만들고, 데이터를 보내는 내용이 여기에 남겨있다는것이 보임.

이때 검정색으로 된 서브 루틴이 또 보이는데 이 함수 내에는 머 별거 없구...

 

 

 

그리고 다시 나와서 

 

여기서 보면 저 sub_407480이 445번 포트를 확인하는 함수임!!

445번... smb...

 

들아가서 확인해보면

 

이렇게 0x1BD = 445 (10) 인 숫자가 보임!!

 

그리고 좀 내리면 밑에

 

소켓을 만들고 커넥션을 해본 다음에 커넥션이 잘 되면 바로 닫는 부분이 보임.

-> 단순히 SMB 연결이 잘 되는지 확인을 위한 코드 (445번 포트가 열려있는지 확인하기 위한 코드)

 

 

열려있다면 실질적 공격인 sub_401980으로 들어가게 되는것!! (위에 마트료시카 나오는 부분)