01-[Lab01-02.exe_]
1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?
악성코드의 시그니처를 판단한다.
주로 Trojan 형태가 많이 나오는 것을 볼 수 있다.
Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다.
Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다.
추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다.
2. 패킹이나 난독화의 흔적이 있는가? 이유는?
[PEiD.exe]
UPX로 패킹이 되어있는 것을 볼 수 있다.
[Unpacking UPX]
사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다.
[PEiD.exe]
언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정된 것을 볼 수 있다.
3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
[Dependency Walker]
윈도우 시스템에 있는 4개의 DLL파일을 포함하고 있다.
ADVAPI32.DLL과 WININET.DLL은 주로 네트워크와 관련된 일을 한다.
ADVAPI32.DLL
- CreateServiceA: 서비스 오브젝트를 작성하여 지정된 서비스 제어 관리자 데이터베이스에 추가
WININET.DLL
- InternetOpenUrlA: FTP 또는 HTTP URL로 지정된 자원을 연다.
- InternetOpenA: 응용 프로그램의 WinINet 기능 사용을 초기화
4. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
[strings.exe]
API 함수 list를 확인할 수 있다.
예측: API 함수를 사용하면서 필요한 파라미터라고 예측할 수 있다. MalService, Malservice라는 인터넷 서비스 프로그램을 실행시킬 가능성이 있다. URL http://www.malwareanalysisbook.com을 가지고 접속하거나 어떤 일을 수행할 것으로 예측한다. Internet Explorer 8.0을 보았을 때, Explorer을 띄우거나 이 창에서 악의적인 일을 할 것이라고 예측할 수 있다.
결론: 모든 예측을 보았을 때, Lab01-02.exe파일은 악성코드로 의심이 되면서 패킹이 되어 있고 언패킹 해서 분석을 해본 결과 시스템상에서 서비스를 띄워주며 특정 사이트에 접속하는 악성코드로 판단할 수 있다.
'Security > Reversing' 카테고리의 다른 글
| [악성코드정적분석] PracticalMalwareAnalysis-Lab01-04 분석 (0) | 2020.04.25 |
|---|---|
| [악성코드정적분석] PracticalMalwareAnalysis-Lab01-03 분석 (0) | 2020.04.24 |
| [악성코드정적분석] PracticalMalwareAnalysis-Lab01-01 분석 (0) | 2020.04.17 |
| [악성코드분석] 기초정적분석02 - PE파일 포맷 (0) | 2020.04.17 |
| [악성코드분석] 기초정적분석01 - 설명 및 도구 (0) | 2020.04.17 |