Red_Message :: 실전 악성코드와 멀웨어 분석 실습 3-4 분석

안녕하세요~ Message 입니다. 오늘은~

<실전 악성코드와 멀웨어 분석> 책의 실습 문제 3-4 을 분석해보고자 합니다.

분석환경은 Windows XP / Vmware 12.1.0 build 입니다.

 

1. 파일을 실행하였을 때 어떤 일이 발생했는가?

 

1) 기본 분석

파일을 실행하기 앞서, 기본적인 분석을 수행합니다.

패킹여부, 문자열 추출, DLL 리스트 등을 확인하며 특이사항을 체크합니다.

- 문자열추출

Strings 툴을 이용하여 문자열을 추출합니다.

 

이중에 유심히 봐야할 문자열은 아래와 같습니다

- 도메인명 : http://www.practical...(중략)..analysis.com

- 레지스트리 위치 : SOFTWARE\Microsoft\XPS

- 문자열 : DOWNLOAD, UPLOAD

- 커맨드라인 파라미터 의심 문자열 : -cc, -re, -in

 

- DLL 확인

DWalker로 어떤 함수를 사용하는지 확인합니다.

KERNEL32.DLL의 경우, 너무 많은 함수를 참조하기 때문에 한눈에 들어오지 않지만

ADVAPI32.DLL은 서비스 관련 함수와 레지스트리 관련 함수들이 눈에 띄고,

SHELL32.DLL에서 ShellExecuteA 함수가 확 들어옵니다.

나중에 상세 분석을 하기 위해, 해당 내용들은 기억해둡니다.

 

 

 

2) 파일실행

파일을 실행하면 특정 프로세스(conime.exe)를 실행 시킨 후, 스스로 삭제됩니다.

(보통 conime.exe만 나타났지만..여러번의 시도 끝에 Lab03-04.exe와 동시에 나타난 순간을 캡쳐했습니다)

 

어떤 원리로 삭제되는지 알아보기 위해 ProcMon을 실행시킨 뒤, 프로세스 이름으로 필터를 설정합니다.

하지만 필터를 설정했음에도 불구하고, 너무나 많은 이벤트가 발생하는 것을 볼 수 있습니다.

따라서 추가적인 필터가 필요합니다. (이때 .exe를 빠뜨리면 안됩니다)

 

아래와 같이 Operation에 Process Create 를 필터로 추가 설정하였습니다.

그럼 아래와 같이 이벤트가 1개로 줄어든 것을 볼 수 있습니다.

 

탐지된 이벤트를 더블클릭하여 확인해 보면

아래와 같이 cmd를 이용한 del 명령으로 스스로를 삭제하는 커맨트를 발견할 수 있습니다.

 

2. 동적 분석 시 장애물이 무엇인가?, 이 파일을 실행시키는 다른 방법이 있는가?

해당 악성코드가 스스로 삭제되는점을 미루어 보아,

분석을 위한 도구 또는 컴포넌트가 필요한 것 같습니다.

해당 내용은 9장에서 다룬다고 하니, 해당 내용을 공부하고 돌아와야 겠군요!