[Lab01-04.exe_]
[output.exe]
1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?
추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다.
생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다.
맨 처음에 탐지가 된 것을 2011년으로 나온다.
악성코드 샘플에 연결된 도메인 정보가 나온다.
추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다.
이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다.
두 개의 URL과 Domain이 연결되어있다.
추측: 이 파일은 두 개의 모르는 Domain에 접속할 수 있으며, 파일을 복사할 수도 있다는 것을 추측할 수 있다.
추측: http://practicalmalwareanalysis.com/updater.exe을 볼 때, exe파일을 다운로드할 확률이 높다.
추측: winlogon.exe파일과 wupdmgr.exe파일을 두 개의 이름이 비슷하니까 위장하여 복사할 확률이 높다.
2. 패킹이나 난독화의 흔적이 있는가? 이유는? 파일이 패킹되어 있다면 언패킹 하라
패킹되어 있지 않다.
3. 이 프로그램은 언제 컴파일됐는가?
[peview.exe]
파일 헤더를 보면 2019/08/30 22:26:59 UTC임을 알 수 있다.
추측: 컴파일 시간이 미래로 뜨는 것을 보았을 때, 파일이 변조되었음을 예상할 수 있다. 하지만 아직은 실제로 언제 컴파일되었는지는 알 수 없다.
4. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
[Dependency Walker]
ADVAPI32.dll
MSVCRT.dll
KERNEL32.dll
- CreateFileA: 파일 생성하는 함수
- MoveFileA: 기존 파일 또는 하위를 포함하여 디렉터리를 이동하는 함수
- WriteFile: 복사해서 파일을 쓰기도 하고 특정 디바이스에 업데이트하는 것도 가능하다.
-> 파라미터: hFile(파일 이름)
- WINExec: CreateProcess 함수를 사용한다.
-> CreateProcessA: 새로운 프로세서를 생성시키는 함수, 우선순위가 높은 스레드를 실행한다. 파라미터를 보면 lpApplicationName(실행할 수 있는 애플리케이션 이름), lpCommandLine(특정 커맨드 라인)
추측: 이 exe파일은 파일을 생성하는 파일이 아닌데 생성하면 악성코드일 확률이 높다는 것을 알 수 있다. 여기서 볼 때는 네트워크 관련된 것이 없다.
5. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
API 함수가 나온다.
PE 파일 앞쪽에서 봤던 내용이 다시 나오는 것을 알 수 있다.
하지만 뒤쪽에 새로운 API 함수가 나오는 것을 알 수 있다.
URLDownloadToFileA: 인터넷이나 어느 곳에 저장되어있는 파일을 다운로드하는 함수
-> 파라미터: szURL(URL), szFileName(파일 이름) 등
추측: strings를 통해서 나온 http://www.practicalmalwareanalysis.com/updater.exe 이 URL을 이 URLDownloadToFileA 함수에서 사용된다는 것을 추측할 수 있다. 또한 이 함수에서 사용하는 파일명은 \winup.exe이나 \system32\wupdmgrd.exe 이것을 사용할 확률이 높다.
6. 이 파일은 리소스 섹션에 하나의 리소스를 Resource Hacker를 이용해 리소스를 점검하고 추출해 보자. 리소스로부터 무엇을 알 수 있는가?
[Resource Hacker]
[output.exe]
[virustotal.com]
정상적인 생성일자가 나오는 것을 알 수 있다.
추측: 실제 동작하는 악성코드 파일은 output.exe 파일임을 알 수 있다.
[Dependency Walker]
[peview.exe]
추측: 실제 실행 가능한 PE 파일이 들어가 있었다. PE 파일을 분석한 결과 네트워크를 접근하는 DLL도 있었고 여러 가지 악의적인 행위를 한다는 것을 알 수 있었다.
'Security > Reversing' 카테고리의 다른 글
[UDP Flooding] UDP Flooding Malware 제작 (0) | 2020.07.28 |
---|---|
[x86 디스어셈블리 속성] 어셈블리 실습 (0) | 2020.05.28 |
[악성코드정적분석] PracticalMalwareAnalysis-Lab01-03 분석 (0) | 2020.04.24 |
[악성코드정적분석] PracticalMalwareAnalysis-Lab01-02 분석 (0) | 2020.04.24 |
[악성코드정적분석] PracticalMalwareAnalysis-Lab01-01 분석 (0) | 2020.04.17 |