[Malware] Formbook
Formbook 악성코드는 메일의 첨부파일 형태를 통해 주로 인포스틸러 행위를 하도록 유포되는 악성코드이다.
인스톨러나 내부의 악성코드를 포함한 PE파일의 형태로 유포되고, Dephi, VisualBasic, .NET과 같이 다양한 형태로 패킹되어 유포된다.
악성코드를 실행시키면, 주로 AV의 로직을 갖는다. 샘플명의 이름을 확인, 실행중인 백신 프로세스 확인, vmtools 프로세스 실행 여부 확인 등 다양한 로직을 거친다.
이후, 인코딩된 Formbook Binary를 디코딩하여 인젝션을 하는 과정을 많이 보여준다. 인젝션 타겟은 주로 재귀 실행된 자기 자신이고, 인젝션된 FormBook Binary는 다른 정상 실행파일을(주로 System32 | SysWOW64 경로의 실행파일) 실행시키고 인젝션한다. 인젝션된 파일은 주로 브라우저 정보(IE, Firefox, Opera, Chrom), 메일 정보(Outlook, Thunderbird), HOST정보, 화면 캡처, 키로깅과 같은 정보들을 수집하여 특정경로에 저장하고 C2 서버로 전송한다.
사실상 Formbook이 제대로 동작하여 필요한 정보를 수집했어도 C2서버가 막혀버리면 아무런 의미가 없다. 그러므로 C2서버를 숨기기위한 작업이 많이 진행된다.
주로 쓰이는 방법으로는 Fake C2서버가 있다. 연결을 하지않는 Fake C2는 분석을 어렵게한다. 또한, Real C2 역시 최대한 감시망을 피하기위해 도메인 접속시에 Ubuntu Apache 기본페이지나, Index Of 페이지, Namecheap 페이지와 같은 위장페이지를 띄워주는 경우가 존재한다. 또한 평상시와 공격자의 명렁 응답이 있을 경우를 구분하기도한다. 평상시에는 404 Not Found를 띄워주는데, 이마저도 일반적이지 않은 404 Not Found 페이지를 띄워줘서 또 하나의 위장이라고 볼 수 있다.
분석시에는 AV환경 구축, 실질적인 악성행위를 하는 Formbook 바이너리 추출, Real C2 확인이 중요할 것 같다. Formbook 바이너리 추출은 IDA를 활용해 실질적인 Load 및 실행 시점 접근, 디버거 분석시 디코딩 루틴을 찾고 완료시점 분석, Process Hacker를 통한 Create Process 확인, Malware Defender를 통한 File Drop 확인이 주효하게 사용될 것 같다.
Real C2를 찾는 로직은 WireShark를 통해 DNS를 탐색(시간 지연의 가능성도 있기에 상세분석을 위해선 바이너리를 분석하는 것이 좋을 것 같긴하다.), 패킷 분석이 유용할 것 같다.