정적 분석 + 동적 분석
분석 파일 : Lab03-01.exe
00. 패킹 여부 확인하기
분석 도구 : PEiD, PEview
분석 결과 : 암호화가 되어있다
컴파일러에 PEncrypt 3.1 Final -> junkcode 표시가 되어 있고
PEview 툴을 이용하여 Import Address Table을 봤을 때 Import 함수들이 안보이는 것을 보아
이 프로그램은 암호화가 되어 있다
01. 정적 분석
분석 도구 : PEview, Dependency Walker, Strings
분석 결과 : 암호화가되어 있어 많은 정보를 얻을 수 없었다
01-1) PEview, Dependency Walker를 이용하여 Import 함수 확인하기
프로그램이 암호화되어 있어 KERNER32.dll의 ExitProcess 함수 1개 밖에 보이지 않는다
01-2) Strings를 이용하여 추가 정보를 알아보기
Strings를 이용하여 ws2_32를 확인하여 네트워크 흔적이 확인 되었고 네트워크 추가적인 흔적으로
URL(www.practicalmalwareanalysis.com)을 발견했다
그리고 수상한 흔적으로 VideoDriver, vmx32to64.exe를 확인했다
정적분석으로는 추가적인 프로그램 분석을 할 수 없어 동적 분석을 이용하여 프로그램을 분석한다
02. 프로그램을 실행 후 분석하기
분석 도구 : Process Explore, Process Monitor, MD5Checker
02-1) Process Explore를 이용하여 사용되는 DLL과 메모리에 올라왔을 때 Strings를 확인한다
Process Explore에서는 정적 분석에서보다 더 많은 dll을 확인했다
02-2) Process Monitor를 이용하여 레지스트리에서 일어나는 일을 확인한다
프로세스 모니터에너무 많은 정보가 들어와서 정확하게 어떤 행위를 하는지 알 수 없어 필터링을 한다
정적분석을 통해 파일과 레지스트리를 건드린것을 확인하였기 때문에
Operation(RegSetValue, WriteFile), Process Name(Lab03-01.exe)을 이용하여 필터링한다
Write File에는 C:\WINDOWS\system32에 vmx32to64를 생성한 것을 확인할 수 있었고
RegSetValue에서는 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 VideoDriver가 추가되는 것 같다
VideoDriver이 추가 되는 것을 확인하기 위해 RegsetValue에서 Jump to를 눌러서 해당하는 레지스트리로 이동한다
레지스트리에 VideoDriver이 추가된 것을 확인 하였다
또한 vmx32to64가 추가된 것을 확인하였다
이 파일과 Lab03-01.exe의 관계를 파악하기 위해 두 파일의 해시 값을 이용하여 두 파일의 무결성을 파악해본다
02-3) MD5Checker를 이용하여 무결성 파악하기
두 파일의 해시 값이 같은 것을 파악하여 vmx32to64.exe는 Lab03-01.exe의 백도어 프로그램인 것으로 추측한다
'개인 공부' 카테고리의 다른 글
| Malware Analysis-04(정적 분석) (0) | 2023.05.24 |
|---|---|
| Malware Analysis-03(정적 분석) (0) | 2023.05.21 |
| Malware Analysis-02(정적 분석) (0) | 2023.05.21 |
| Malware Analysis-01(정적 분석) (1) | 2023.05.17 |
| 악성코드 (0) | 2023.05.01 |
