악성코드 분석 12

[2024.09.30]

 

[기초 정적 분석]

> 분석 파일: Lab03-01.exe

 

01. 자동화 분석

 

> 분석 도구: virustotal.com

> 분석 결과: 68/73(V3, AlYac 모두 탐지)

 

 

 

virustotal로 악성코드 탐지도 가능하지만 디테일로 해시 값과 파일 크기 등도 확인할 수 있다

 

 

pestudio로 확인해 볼 때에도 virustotal에서 나온 부분과 동일하며,

스트링과 임포트는 간략하게 나오는 걸 확인할 수 있었다

 

 

02. 패킹 여부 확인

 

> 분석 도구: PEiD, exeinfope

> 분석 결과: 패킹/암호화 됨

 

 

 

패킹 여부를 확인하여 현재 패킹 및 암호화가 된 걸 확인했다

 

 

04. PE 구조 확인

 

> 분석 도구: PEView, pestudio

> 분석 결과: kernel32.dll(ExitProcess)

 

 

 

PEView로 pe 구조를 확인하면 시간 및 코드 영역이 정상적으로 나타나 있다

 

 

하지만 해당 부분에서 리소스 영역이 없는 것을 확인했다

 

 

테이블의 경우에도 kernel32.dll과 ExitProcess 두 개를 확인할 수 있었다

 

 

04. 문자열 분석

 

> 분석 도구: strings, pestudio, ollydbg

> 분석 결과: 네트워크 시그니처 및 어떻게 시스템이 등록이 되는지의 경로 등

 

 

 

현재 문자열 분석에서의 결과값은 해당 화면과 같이 스트링으로 확인한 문자열이다

 

 

문자열에서 확인했듯이 레지스트리 편집기에 경로가 설정되어 있지만,

해당 경로로 접속했지만 저장이 되어 있지 않은 상태다

 

 

pestudio로도 확인할 수 있는데, strings와 imports에서 스트링과 비슷한 결과를 확인할 수 있었다

 

 

ollydbg로도 확인이 가능하지만 이번 파일은 ollydbg로는 확인이 불가했다

화면에 나오는 것과 같은 소수의 문자열만 확인되며, 그 외의 문자열은 찾기 어려웠다

 

 

05. 이 악성 코드의 호스트 기반 증거는 무엇인가?

 

> 분석 도구: Process Monitor, Process Explorer

> 분석 결과

 

 

 

process explorer로 확인했을 때에도 vmx32to64.exe가 보인다

이 파일이 현재 악성코드 역할을 하고 있는 중이라고 보면 된다

 

 

이렇게 해당 파일 부분을 클릭하면 화면과 같은 창이 나오고,

스트링 및 각종 보기 메뉴와 같은 것들을 확인할 수 있다

 

 

메모리에서 사용하는 스트링도 확인할 수 있지만 눈에 띄게 변화된 점은 보이지 않는다

 

 

마지막으로 MD5 해시 값을 알아보기 위해 WinMD5를 통해

Lab03-01.exe 파일과 vmx32to64.exe 파일을 분석했을 때 둘 다 동일한 해시 값이 나온다

 

06. 이 악성코드의 목적은 무엇인가?

 

> Lab03-01.exe 파일을 실행하면

- Lab03-01.exe 파일을 c:\windows\system32 디렉터리로

- 파일명을 vmx32to64.exe 파일로 복제

 

> 레지스트리(SOFTWARE\Microsoft\Windows\CurrentVersion\Run)에

키(Video Driver)와 키 값( c:\windows\system32\vmx32to64.exe)을 등록

 

> 재시작 후에도 자동으로 실행됨

 

> 실행 후에는 www.practicalmalwareanalysis.com으로 접속 요청 

 

 

[동적 분석]

> 분석 파일: Lab03-01.exe

 

01. Lab03-01.exe 파일 실행

 

> c:\windows\system32\vmx32to64.exe 파일 생성

> hkey_local_machine\microsoft\windows\current version\Run

레지스트리 편집기 키 이름 및 데이터 등록

(키 이름: VideoDriver, 키 값: vmx32to64.exe)

 

> c:\windows\system32\drivers\etc\hosts 파일 수정

127.0.0.1 www.practicalmalwareanalysis.com 

 

> 재시작 후 모니터링

- 분석 도구: Wireshark, nc

- nc -l -p 443

 

 

 

동적 분석을 하기 위해 해당 경로에 vmx32to64.exe 파일이 존재하는 것을 확인한다

 

 

그런 다음 레지스트리 편집기에서도 경로대로 따라 간 후 VideoDriver가 있는 것을 확인해 준다

 

 

파일 존재 여부 확인 후

리부팅 시도하여 wireshark를 실행시켜 보면 해당 사이트에 계속 요청을 보낸다

 

 

C:\WINDOWS\system32\drivers\etc 경로의 hosts 파일을 열면 화면과 같이 localhost로

본인한테 요청하도록 지정되어 있다

 

 

현재 응답을 받아야 되기 때문에 localhost가 아닌

www.practicalmalwareanalysis.com으로 로 지정 후 저장한다

 

 

cmd 창으로 nc를 이용하여 443 포트로 연결하면

알 수 없는 데이터가 넘어오는 것은 확인할 수 있지만,

해당 페이지에 대한 정보를 얻을 수는 없었다

 

 

 

강의 소감

오늘도 지난 시간과 비슷하게 분석했다

하지만 오늘은 처음으로 동적 분석에 대해서도 배웠다

process monitor와 process exeplorer 프로그램도 실행하여 흐름을 파악했고,

파일 생성과 리부팅 후 해당 악성 코드에 대한 응답을 바라고 실습을 진행했다