본문 바로가기
개인 공부

Malware Analysis-04(정적 분석)

Bandit10 2023. 5. 24. 01:03

정적 분석

분석 파일 : Lab01-04.exe

00. 패킹 여부 확인하기

분석 도구 : PEiD

분석 결과 : 패킹이 되어 있지 않는다

EntryPoint : 0x15CF,  EP Section : .text, 컴파일러 : Microsoft Visual C++ 6.0, ImageBase : 0x400000

PEiD 패킹 확인 & PE 분석

01. 자동화 분석하기 

분석 도구 : https://www.virustotal.com/gui/home/upload

분석 결과 (58/71)

ALYac : Gen:Variant.Cerbu.64782

AhnLab-V3 : Undetected

virustotal 자동화 분석

02. PE구조 분석하기

분석 도구 : PEiD, PEview

분석 결과

    Time Date Stamp : 2019/08/30 22:26:59 UTC

    Address of Entry Point : 0x15CF
    Base of Code : 0x1000
    Base of Data : 0x2000
    Image Base : 0x40000

    ★ SECTION .rsrc 발견!!

      ※ TIP : 악성코드는 때때로 문자열, 설정 정보, 악의적인 파일을 저장할때 리소스를 활용한다

          

PEview

 

03. Import 함수 분석하기

분석 도구 :PEiD, PEview, Dependency Wlaker

분석 결과 

KERNEL32.dll ADVAPI32.dll
CloseHandle, CreateFileA,CreateRemoteThread,
FindResourceA, GetCurrentProcess, GetModuleHandleA,
GetProcAddress, GetTempPathA, GetWindowsDirectoryA,
LoadLibraryA, LoadResource, MoveFileA, OpenProcess,
SizeofResource, WinExec, WriteFile		 AdjustTokenPrivileges,
LookupPrivilegeValueA,
OpenProcessToken

CreateFileA, WriteFile, WinExec: 파일을 디스크에 생성 / 쓰기 / 실행한다

FindResourceA : 지정된 모듈에서 지정된 유형 및 이름을 가진 리소스의 위치를 결정, 

                            실행파일이나 로드한 DLL에서 리소스를 찾는데 사용

 TIP : 이 함수의 사용흔적이 보이면 악성코드의 PE헤더 내에 있는 .rsrc섹션 확인!!

LoadResource : 메모리에서 지정된 리소스의 첫 번째 바이트에 대한 포인터를 가져오는 데 사용할 수 있는 핸들을 검색

                          PE파일에서 메모리로 리소스를 로드

GetCurrentProcess : 현재 프로세스에 대한 의사 핸들을 검색
GetProcAddress : 지정된 DLL(동적 연결 라이브러리)에서 내보낸 함수(프로시저라고도 함) 또는 변수의 주소를 검색 -> 함수를 호출

LoadLibraryA : 호출 프로세스의 주소 공간에 지정된 모듈을 로드, 지정된 모듈로 인해 다른 모듈이 로드될 수 있다
-> 메모리에 로드한 DLL에서 함수 주소를 검색, PE 파일 헤더에서 임포트 한 함수 뿐만 아니라 다른 DLL에서 함수를 Import할때 사용

MoveFileA : 하위 파일을 포함하여 기존 파일 또는 디렉토리를 이동
WinExec : 다른 프로그램을 실행할 때 사용
WriteFile : 지정된 파일 또는 I/O 장치에 데이터를 쓴다

 

PEiD Imports VIewer(KERNEL32.dll & ADVAPI32.dll)

 

PEiD Imports VIewer(MSVCRT.dll)
PEview IMPORT
Dependency Walker Import

04. Strings로 추가적인 흔적 파악하기

분석 도구 : Strings

분석 결과

수상한 네트워크 흔적 발견 :  http://www.practicalmalwareanalysis.com/updater.exe

수상한 호스트 흔적 발견 : \winup.exe, system32\wupdmgrd.exe

Strings64(Windows10)

 

Strings

05. Resource Hacker 를 이용하여 리소스 분석하기

분석 도구 :Resource Hacker, PEview

분석 결과

0x7070에서 \winup.exe, system32\wupdmgrd.exe 수상한 호스트 흔적과 

http://www.practicalmalwareanalysis.com/updater.exe 수상한 URL을 발견했다

Resource Hacker
PEview

06. 목적

 practicalmalwareanalysis.com URL로 들어가서 파일을 추가로 다운로드하는 악성프로그램으로 추측한다

 

'개인 공부' 카테고리의 다른 글

Malware Analysis-05  (0) 2023.06.01
Malware Analysis-03(정적 분석)  (0) 2023.05.21
Malware Analysis-02(정적 분석)  (0) 2023.05.21
Malware Analysis-01(정적 분석)  (1) 2023.05.17
악성코드  (0) 2023.05.01

'개인 공부' Related Articles

티스토리툴바