Information Security ˗ˋˏ ♡ ˎˊ˗

Security/Reversing

[악성코드정적분석] PracticalMalwareAnalysis-Lab01-02 분석

토오쓰 2020. 4. 24. 21:44

01-[Lab01-02.exe_]

 

1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?

 

 

악성코드의 시그니처를 판단한다.

주로 Trojan 형태가 많이 나오는 것을 볼 수 있다.

Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다.

Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다.

추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다.

 

 

2. 패킹이나 난독화의 흔적이 있는가? 이유는?

[PEiD.exe]

 

UPX로 패킹이 되어있는 것을 볼 수 있다.

 

[Unpacking UPX]

사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다.

 

 

[PEiD.exe]

 

 

언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정된 것을 볼 수 있다.

 

 

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

 

[Dependency Walker]

윈도우 시스템에 있는 4개의 DLL파일을 포함하고 있다.

ADVAPI32.DLL과 WININET.DLL은 주로 네트워크와 관련된 일을 한다.

 

ADVAPI32.DLL

- CreateServiceA: 서비스 오브젝트를 작성하여 지정된 서비스 제어 관리자 데이터베이스에 추가

WININET.DLL

- InternetOpenUrlA: FTP 또는 HTTP URL로 지정된 자원을 연다.

- InternetOpenA: 응용 프로그램의 WinINet 기능 사용을 초기화

 

 

4. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?

[strings.exe]

API 함수 list를 확인할 수 있다.

예측: API 함수를 사용하면서 필요한 파라미터라고 예측할 수 있다. MalService, Malservice라는 인터넷 서비스 프로그램을 실행시킬 가능성이 있다. URL http://www.malwareanalysisbook.com을 가지고 접속하거나 어떤 일을 수행할 것으로 예측한다. Internet Explorer 8.0을 보았을 때, Explorer을 띄우거나 이 창에서 악의적인 일을 할 것이라고 예측할 수 있다.

 

결론: 모든 예측을 보았을 때, Lab01-02.exe파일은 악성코드로 의심이 되면서 패킹이 되어 있고 언패킹 해서 분석을 해본 결과 시스템상에서 서비스를 띄워주며 특정 사이트에 접속하는 악성코드로 판단할 수 있다.