[todo] Codeinjection Tech
ref
->http://blog.alyac.co.kr/1628
->https://thehackernews.com/2018/04/early-bird-code-injection.html
atombombing code injection
Early bird Code injection
이용 샘플
- 이란 해킹 그룹 APT33이 개발한 "TurnedUp" 백도어
- "Carberp" 뱅킹 멀웨어의 변종
- "DorkBot" 악성 코드
ioc
706630a77f06ef8fb90eb312fa2cbfe6
8cac249e2a9ae6ae8c5d90a9d52dbb88
03e662753b2c4a05c40ad3525eeef903
e1383bea710422248b7e1edc4e0ff6ec
29872933e896d0b77fb6a3613f583544
eaa4b5cba278e00955059bf30202cd18
8953c8469d9f364928a686d9175c3bf7
단계
- 정식 윈도우 프로세스의 일시 중지 된 프로세스를 생성 (예: svchost.exe)
- 해당 프로세스(svchost.exe)에 메모리를 할당하고, 할당 받은 메모리 영역에 악성 코드를 쓴 다음
- 해당 프로세스(svchost.exe)의 메인 쓰레드에 비동기 프로시져 호출 (APC)을 대기시키고
- APC는 알람 가능한 상태(alertable state)일 때만 프로세스를 실행할 수 있기 때문에, NtTestAlert 함수를 호출해 메인 쓰레드가 다시 시작되는 즉시 커널이 악성코드를 실행하도록 함
