실전 악성코드와 멀웨어 분석 (Practical Malware Analysis) 실습 풀이


실습 1-2

Lab01-02.exe 파일을 분석하라


질문

1. Http://www.virusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의가 된 것과 일치하는가?

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?


실습 풀이 보고서 : securityse_tistory_com_PMA_lab1-2.pdf

securityse_tistory_com_PMA_lab1-2.pdf


실전 악성코드와 멀웨어 분석 (Practical Malware Analysis) 실습 풀이


실습 1-1

이 실습은 Lab01-01.exe와 Lab01-01.dll 파일을 사용한다. 파일에 관한 정보를 얻으려면 1장에서 사용한 기법과 도구를 사용하고 다음 질문에 대답해보자


질문

1. http://www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가?

2. 이 파일은 언제 컴파일 됐는가?

3. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가?

4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?

5. 감염된 시스템에서 검색할 수 있는 다른 파일이나 호스트 기반의 증거가 존재하는가?

6. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?

7. 이 파일의 목적은 무엇이라고 판단했는가?


실습 풀이 보고서 : securityse_tistory_com_PMA_lab1-1.pdf


최초작성일 : 2015/05/12 - 이미지 작업 필요

Email-Worm.Win32.Runouce.b 악성코드 동적분석


1. 온라인 분석 결과


1.1 VirusTotal 분석 결과 (https://www.virustotal.com)


1.1.1 악성 코드 진단 명

AVG                Win32/Chir.B@mm

AhnLab-V3           Win32/ChiHack.6652

Avast               Win32:Runonce [Trj]

ClamAV               WIN.Worm.Brontok

Kaspersky            Email-Worm.Win32.Runouce.b

McAfee               W32/Chir.b@MM


1.1.2 악성코드 첫 분석 날짜

2011-01-2506:31:19



1.3 해당 악성 파일의 분석 자료는 구글 참고




2. File 분석


2.1 파일 생성


C:\WINDOWS\system32\runouce.exe 파일 생성

runouce.exe 파일 확인

디스크의 htm 파일이 존재하는 폴더 위치에 readme.eml 파일 생성


2.2 파일 변조


디스크의 exe 파일들을 찾아서 변조함

아래와 같이 exe 내부에 eml 메일 코드 삽입

<현재 변조된 exe 파일 해당 글에서는 분석 제외>


디스크의 htm 파일들을 찾아서 변조함

아래와 같이 htm 파일 하단에 script를 삽입하여 htm 파일 실행 시 readme.eml을 실행하도록 구현함



2.3 실행되는 파일


runouce.exe 실행

- runouce는 exe, htm 파일들을 변조하고, 디스크의 디렉토리에 eml 파일을 생성

- 같은 subnet의 쓰기 가능한 공유 폴더를 찾아 eml 파일을 생성함

- Process kill을 방지하고. 부팅시 자동실행할 Registry가 삭제될경우 복구를 수행

- 재부팅 시 마다 실행됨



3. Registry 분석


3.1 Registry 등록


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Runonce에 runouce.exe 를 등록하여 부팅시 마다 자동실행



4. Network 분석



4.1 공유디렉토리 접근


같은 subnet의 모든 공유 디렉토리를 검사하여 패스워드 없이 쓰기가 허용된 공유 폴더에 

<ComputerName>.eml 파일을 생성함

- 해당 eml 실행시 첨부파일에 악성코드가 삽입되어 있음

- script가 실행되는 환경이면 자동 실행 시도함



5. 백신 검사



5.1 eml 파일 백신 검사


eml 파일 ALYAC으로 검사했지만 악성코드로 인식하지는 않음

- 변조된 exe 파일 및 runouce.exe 파일은 악성코드로 인식



5.2 eml 파일 일부 내용




+ Recent posts