View
15
Download
0
Category
Preview:
Citation preview
온라인 게임 해킹 악성코드 분석
AhnLab
2013. 04. 17
ASEC 분석1팀
이주석 주임연구원 (jusuk.lee@ahnlab.com)
Contents 0. 온라인 게임핵의 등장 배경
1. 온라인 게임핵이 구동 되는 방법
- DLL Injection - Windows System DLL Patch
2. 온라인 게임핵의 게임 계정 탈취
- API Hooking - 로그인 계정 탈취
3. 온라인 게임핵의 생존 전략
- 실행압축 - 인해전술 - AV 무력화 - 부트킷
4. Conclusion
0. 온라인 게임핵의 등장 배경
온라인 게임핵의 등장 배경
악성코드 제작자의 목적 변화
< 20 C 악성코드 제작자 > < 21 C 악성코드 제작자 >
제작자의 변심에 따른 악성코드 트렌드 변화
온라인 게임핵 5W1H
Who ? When ?
Where ? What ?
How ? Why ?
1. 온라인 게임핵이 구동 되는 방법
▷ DLL Injection
▷ Windows System DLL Patch
온라인 게임핵이 구동 되는 방법
계정 탈취를 이용해서는….
< Game Process >
< Internet Explorer >
Gamehack (Dll 파일)
Gamehack (Dropper)
DLL Injection
< Game Process >
Kernel32.dll
Ws2help.dll
Ntdll.dll
Game.exe
Gamehack (Dropper)
1. VirtualAllocEx 호출
2. WriteProcessMemory를 호출하여 Gamehack
의 경로를 Write
3. CreateRemoteThread로 LoadLibraryA를 호출
Windows System DLL Patch
Game.exe
Windows DLL Game DLL
Kernel32.dll
Imm32.dll
Ntdll.dll
Ws2help.dll
Ole32.dll
User32.dll
GDI32.dll
Character.dll
MapCtrl.dll
Server.dll
Channel.dll
Game.dll
Item.dll
GmMon.dll
Kernel32.dll
Ws2help.dll
Imm32.dll
Ole32.dll
Ntdll.dll
Character.dll
MapCtrl.dll
Game.dll
Ws2help.dll
< Game Process >
Game.exe
2. 온라인 게임핵의 게임 계정 탈취
▷ API Hooking
▷ 로그인 계정 탈취
API Hooking
< Internet Explorer >
HttpSendRequest
Send
로그인 계정 탈취
< Internet Explorer >
HttpSendRequest
Internet Explorer 프로세스에 로드 된 온라인 게임핵에 의해 후킹된 함수로 부터 계정과 PWD를 탈취
3. 온라인 게임핵의 생존 전략
▷ 실행압축
▷ 인해전술
▷ AV 무력화
▷ 부트킷
실행 압축
Original
UPX
Mew UPACK
Yoda
Fsg ASPack Themida
인해전술
수 많은 변종을 제작하여 일부 샘플들이 Anti-Virus 제품에 의해 진단이 되더라도
살아 남은 온라인 게임핵들이 게임 계정을 탈취
AV 무력화
System Malware
Lv.10
자체보호
AV 제품의 식량
이 때 AV 제품을 공격하기
위한 방법은????
AV 제품
부트킷
< Booting 과정 >
M
B
R Partition #1 Partition #2
V
B
R
V
B
R
MBR을 감염 시켜 Windows나 다른 보안 모듈이 로드 되기 전에 악성 행위를 수행
4. Conclusion
thank you.
Recommended