-o-k's story

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-03.exe] 가상 환경 Windows XP Professional 실습 3-3) 안전한 환경에서 기초 동적 분석 도구를 이용해 모니터링하는 동안 Lab03-03.exe 파일에서 발견된 악성코드를 실행하라. 1) Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가? 부모 프로세스를 잃어버리고 자식 프로세스 svchost.exe로 남는다. 답: Lab03-03.exe파일은 svchost.exe 파일을 자식 프로세스로 실행시키고 자기 자신은 사라진다. 2) 실시간 메모리 변조를 확인할 수 있는가? svchost.exe 메모리에 ..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-2.exe] [Lab03-2.dll] 가상 환경 Windows XP Professional 실습 3-2) 기초 동적 분석 도구를 이용해 Lab03-2.dll 파일에서 발견된 악성코드를 분석하라 라이브러리 파일 설치하는 방법 정직하게 보이는 것 보면 패킹은 되어있지 않은 것 같다. [import 디렉터리] 네트워크와 관련된 라이브러리를 보고 네트워크 행위를 한다는 것을 알 수 있다. ADVAPI32.dll 레지스트리와 관련된 라이브러리 존재, 서비스와 관련된 행위를 하는 모듈 존재, 서비스로 등록되면 악성코드가 자동으로 실행될 수 있도록 함. 서비스는 백..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 사용한 파일 [Lab03-01.exe] 가상 환경 Windows XP Professional 실습 3-1) 기초 동적 분석 도구를 이용해 Lab03-1.exe 파일에서 발견된 악성코드를 분석하라. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? Kernel32.dll에 ExitProcess 함수만 사용한다. 패킹이 되어있는지 확인해본다. 'junkcode'라는 패커로 패킹이 되어있는 것을 알 수 있었다. 다음은 strings로 확인해보기 텍스트 파일로 결과를 저장시킨다. 많은 레지스트리 키가 나오는 것을 알 수 있다. SOFTWARE\Microsoft\Windows\Curre..

UDPFlooding Malware를 제작하여 정적/동적 분석 https://t-okk.tistory.com/59 [UDP Flooding] UDP Flooding Malware 제작 1. 전체 Flowchart 순서 1) 악성코드는 서버에 10004번 포트로 'IMHACKER_10자리 숫자' 메시지를 UDP 통신으로 전송한다. 2) C&C 서버로 부터 공격 대상자 IP와 PORT 번호를 받고 공격지에 UDP Flooding 공격을.. t-okk.tistory.com *악성코드 분석하는 과정에서는 패킹하지 않은 파일을 가지고 분석하였다. 1. 정적분석 1.1 Virustotal(https://www.virustotal.com/gui/home) 악성 여부를 판단하는 안티바이러스 도구 악성코드 탐지에서 패턴..

1. 전체 Flowchart 순서 1) 악성코드는 서버에 10004번 포트로 'IMHACKER_10자리 숫자' 메시지를 UDP 통신으로 전송한다. 2) C&C 서버로 부터 공격 대상자 IP와 PORT 번호를 받고 공격지에 UDP Flooding 공격을 수행한다. => 10자리 숫자를 10번 반복해서 전송 3) 악성코드는 단독으로 실행하는 EXE 파일로 작성 4) 악성코드의 분석가를 방해하기 위해 EXE 파일을 난독화하였다. 2. Malware 설명 사용된 악성코드: UDPMalware.exe 사용된 소스파일: source.cpp #define _CRT_SECURE_NO_WARNINGS #define _WINSOCK_DEPRECATED_NO_WARNINGS #include #include #include ..

[Lab01-04.exe_] [output.exe] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다. 생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다. 맨 처음에 탐지가 된 것을 2011년으로 나온다. 악성코드 샘플에 연결된 도메인 정보가 나온다. 추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다. 이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다. 두 개의 URL과 Domain이 연결되어있다. 추측..

[Lab01-03.exe] [Lab01-03_unpacked.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan, packer가 있는 것을 봐서는 패킹이 되어있을 확률이 높다. 악성코드일 확률이 높음을 알 수 있다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] 추측: FSG1.0 버전으로 패킹이 되어있는 것을 알 수 있다. FSG로 패킹이 되어있는 것을 언패킹 하기 위해 사용한 tool: VMUnpacker [VMUnpacker.exe] 해당 exe파일을 언패킹 파일 사이즈가 커진 것을 볼 수 있다. [PEiD.exe] 언패킹이 된 것을 알 수 있다. [virustotal.com] 추측: 바이러스 토탈 ..

01-[Lab01-02.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드의 시그니처를 판단한다. 주로 Trojan 형태가 많이 나오는 것을 볼 수 있다. Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다. Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다. 추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] UPX로 패킹이 되어있는 것을 볼 수 있다. [Unpacking UPX] 사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다. [PEiD.exe] 언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? [Lab01-01.exe] 69개 엔진 중에서 41개가 악성코드로 탐지 -> 악성코드임을 예측할 수 있다. AhnLab-V3, Microsoft, F-Secure 등이 악성코드로 인식 악성코드 이름이 대부분 Trojan, Win32, Heuristic 등으로 설정 예측: Trojan형태는 네트워크 기반의 통신 행위를 한다. 별도로 소프트웨어를 설치하거나 동작할 확률이 높다. 해시 정보가 나와 있다. 이 해시 값을 가지고 변조되었는지 확인할 수 있다. PE32 MS 윈도우 기반으로..

abex’ crackme #1 : crack 연습 목적용 공개 프로그램 Ollydbg(v1.1) 코드의 특징: 어셈블리로 작성된 코드, 시작 주소가 EP로 매우 간단하고 명확하게 작성(stub code가 없음) - 여기서 MessageBoxA 총 3개의 API 함수를 사용 코드의 목적: MessageBoxA 순서대로 1, 2, 3으로 볼 때, 원래는 1->2로 이동하는데 1->3으로 이동하길 원한다. 코드 분석 00401000 PUSH 0 ; Style = MB_OK|MB_APPLMODAL 00401002 PUSH 402000 ; Title = "abex' 1st crackme" 00401007 PUSH 402012 ; Text = "Make me think your HD is a CD-Rom." 004..