-o-k's story

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-04.exe] 가상 환경 Windows XP Professional 실습 3-4) 기초 분석 도구를 이용해 Lab03-04.exe 파일에서 발견된 악성코드를 분석하라. Kernel32.dll : 파일과 관련된 행위를 한다는 것을 알 수 있다. CopyFile function 기존 파일을 새 파일로 복사한다. WriteFile function 지정된 파일 또는 입/출력 장치에 데이터를 쓴다. ReadFile function 지정된 파일 또는 입/출력 장치에서 데이터를 읽는다. DeleteFileA function 기존 파일을 삭제한다. GetFileTim..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-03.exe] 가상 환경 Windows XP Professional 실습 3-3) 안전한 환경에서 기초 동적 분석 도구를 이용해 모니터링하는 동안 Lab03-03.exe 파일에서 발견된 악성코드를 실행하라. 1) Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가? 부모 프로세스를 잃어버리고 자식 프로세스 svchost.exe로 남는다. 답: Lab03-03.exe파일은 svchost.exe 파일을 자식 프로세스로 실행시키고 자기 자신은 사라진다. 2) 실시간 메모리 변조를 확인할 수 있는가? svchost.exe 메모리에 ..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-2.exe] [Lab03-2.dll] 가상 환경 Windows XP Professional 실습 3-2) 기초 동적 분석 도구를 이용해 Lab03-2.dll 파일에서 발견된 악성코드를 분석하라 라이브러리 파일 설치하는 방법 정직하게 보이는 것 보면 패킹은 되어있지 않은 것 같다. [import 디렉터리] 네트워크와 관련된 라이브러리를 보고 네트워크 행위를 한다는 것을 알 수 있다. ADVAPI32.dll 레지스트리와 관련된 라이브러리 존재, 서비스와 관련된 행위를 하는 모듈 존재, 서비스로 등록되면 악성코드가 자동으로 실행될 수 있도록 함. 서비스는 백..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-01.exe] 가상 환경 Windows XP Professional 실습 3-1) 기초 동적 분석 도구를 이용해 Lab03-1.exe 파일에서 발견된 악성코드를 분석하라. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? Kernel32.dll에 ExitProcess 함수만 사용한다. 패킹이 되어있는지 확인해본다. 'junkcode'라는 패커로 패킹이 되어있는 것을 알 수 있었다. 다음은 strings로 확인해보기 텍스트 파일로 결과를 저장시킨다. 많은 레지스트리 키가 나오는 것을 알 수 있다. SOFTWARE\Microsoft\Windows\Curre..

UDPFlooding Malware를 제작하여 정적/동적 분석 https://t-okk.tistory.com/59 [UDP Flooding] UDP Flooding Malware 제작 1. 전체 Flowchart 순서 1) 악성코드는 서버에 10004번 포트로 'IMHACKER_10자리 숫자' 메시지를 UDP 통신으로 전송한다. 2) C&C 서버로 부터 공격 대상자 IP와 PORT 번호를 받고 공격지에 UDP Flooding 공격을.. t-okk.tistory.com *악성코드 분석하는 과정에서는 패킹하지 않은 파일을 가지고 분석하였다. 1. 정적분석 1.1 Virustotal(https://www.virustotal.com/gui/home) 악성 여부를 판단하는 안티바이러스 도구 악성코드 탐지에서 패턴..

1. 전체 Flowchart 순서 1) 악성코드는 서버에 10004번 포트로 'IMHACKER_10자리 숫자' 메시지를 UDP 통신으로 전송한다. 2) C&C 서버로 부터 공격 대상자 IP와 PORT 번호를 받고 공격지에 UDP Flooding 공격을 수행한다. => 10자리 숫자를 10번 반복해서 전송 3) 악성코드는 단독으로 실행하는 EXE 파일로 작성 4) 악성코드의 분석가를 방해하기 위해 EXE 파일을 난독화하였다. 2. Malware 설명 사용된 악성코드: UDPMalware.exe 사용된 소스파일: source.cpp #define _CRT_SECURE_NO_WARNINGS #define _WINSOCK_DEPRECATED_NO_WARNINGS #include #include #include ..

* 작업환경 VMware [Windows XP Professional] ollydbg [shadow] * 실습을 진행하기 전에 알아야 할 사항(ollydbg) 1) 디스어셈블러 윈도우(Disassembler window) : 프로그램의 어셈블리 언어를 보여주는 창 2) 레지스터 윈도우 : 레지스터 상태를 보여주는 창 (EAX, EBX 등) 3) 스택 윈도우 : 스택을 보여주는 창 4) 메모리 덤프 윈도우 : 특정 메모리의 헥사 값(16진수)을 보여주는 창 1. masm32 설치 1) 설치링크 http://www.masm32.com/download.htm Download The MASM32 SDK NOTE on the version of MASM supplied in the MASM32 SDK. The v..

[Lab01-04.exe_] [output.exe] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다. 생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다. 맨 처음에 탐지가 된 것을 2011년으로 나온다. 악성코드 샘플에 연결된 도메인 정보가 나온다. 추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다. 이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다. 두 개의 URL과 Domain이 연결되어있다. 추측..

[Lab01-03.exe] [Lab01-03_unpacked.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan, packer가 있는 것을 봐서는 패킹이 되어있을 확률이 높다. 악성코드일 확률이 높음을 알 수 있다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] 추측: FSG1.0 버전으로 패킹이 되어있는 것을 알 수 있다. FSG로 패킹이 되어있는 것을 언패킹 하기 위해 사용한 tool: VMUnpacker [VMUnpacker.exe] 해당 exe파일을 언패킹 파일 사이즈가 커진 것을 볼 수 있다. [PEiD.exe] 언패킹이 된 것을 알 수 있다. [virustotal.com] 추측: 바이러스 토탈 ..

01-[Lab01-02.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드의 시그니처를 판단한다. 주로 Trojan 형태가 많이 나오는 것을 볼 수 있다. Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다. Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다. 추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] UPX로 패킹이 되어있는 것을 볼 수 있다. [Unpacking UPX] 사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다. [PEiD.exe] 언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정..