[악성코드정적분석] PracticalMalwareAnalysis-Lab01-04 분석

[Lab01-04.exe_]

[output.exe]

 

 

 

1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?

추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다.

 

생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다.

맨 처음에 탐지가 된 것을 2011년으로 나온다.

 

 

 

악성코드 샘플에 연결된 도메인 정보가 나온다.

추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다.

 

 

 

 

 

이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다.

두 개의 URL과 Domain이 연결되어있다.

추측: 이 파일은 두 개의 모르는 Domain에 접속할 수 있으며, 파일을 복사할 수도 있다는 것을 추측할 수 있다.

 

 

 

추측: http://practicalmalwareanalysis.com/updater.exe을 볼 때, exe파일을 다운로드할 확률이 높다.

 

 

 

 

추측: winlogon.exe파일과 wupdmgr.exe파일을 두 개의 이름이 비슷하니까 위장하여 복사할 확률이 높다.

 

 

 

2. 패킹이나 난독화의 흔적이 있는가? 이유는? 파일이 패킹되어 있다면 언패킹 하라

 

 

패킹되어 있지 않다.

 

 

 

3. 이 프로그램은 언제 컴파일됐는가?

[peview.exe]

파일 헤더를 보면 2019/08/30 22:26:59 UTC임을 알 수 있다.

추측: 컴파일 시간이 미래로 뜨는 것을 보았을 때, 파일이 변조되었음을 예상할 수 있다. 하지만 아직은 실제로 언제 컴파일되었는지는 알 수 없다.

 

 

 

4. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

 

[Dependency Walker]

ADVAPI32.dll

MSVCRT.dll

KERNEL32.dll

- CreateFileA: 파일 생성하는 함수

- MoveFileA: 기존 파일 또는 하위를 포함하여 디렉터리를 이동하는 함수

- WriteFile: 복사해서 파일을 쓰기도 하고 특정 디바이스에 업데이트하는 것도 가능하다.

-> 파라미터: hFile(파일 이름)

- WINExec: CreateProcess 함수를 사용한다.

-> CreateProcessA: 새로운 프로세서를 생성시키는 함수, 우선순위가 높은 스레드를 실행한다. 파라미터를 보면 lpApplicationName(실행할 수 있는 애플리케이션 이름), lpCommandLine(특정 커맨드 라인)

 

추측: 이 exe파일은 파일을 생성하는 파일이 아닌데 생성하면 악성코드일 확률이 높다는 것을 알 수 있다. 여기서 볼 때는 네트워크 관련된 것이 없다.

 

 

5. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?

 

API 함수가 나온다.

 

 

PE 파일 앞쪽에서 봤던 내용이 다시 나오는 것을 알 수 있다.

하지만 뒤쪽에 새로운 API 함수가 나오는 것을 알 수 있다.

URLDownloadToFileA: 인터넷이나 어느 곳에 저장되어있는 파일을 다운로드하는 함수

-> 파라미터: szURL(URL), szFileName(파일 이름) 등

 

추측: strings를 통해서 나온 http://www.practicalmalwareanalysis.com/updater.exe 이 URL을 이 URLDownloadToFileA 함수에서 사용된다는 것을 추측할 수 있다. 또한 이 함수에서 사용하는 파일명은 \winup.exe이나 \system32\wupdmgrd.exe 이것을 사용할 확률이 높다.

 

 

 

 

6. 이 파일은 리소스 섹션에 하나의 리소스를 Resource Hacker를 이용해 리소스를 점검하고 추출해 보자. 리소스로부터 무엇을 알 수 있는가?

[Resource Hacker]

 

[output.exe]

[virustotal.com]

 

정상적인 생성일자가 나오는 것을 알 수 있다.

 

 

추측: 실제 동작하는 악성코드 파일은 output.exe 파일임을 알 수 있다.

 

[Dependency Walker]

 

[peview.exe]

추측: 실제 실행 가능한 PE 파일이 들어가 있었다. PE 파일을 분석한 결과 네트워크를 접근하는 DLL도 있었고 여러 가지 악의적인 행위를 한다는 것을 알 수 있었다.