악성코드 샘플 분석 2-1

오늘은 dgrep.exe 라는 악성코드를 분석해보기로 했다.

 

이번에도 기초분석을 토대로 악성코드의 대략적인 내용과 분석방향을 잡을 수 있었다.

 

1차 2차로 나누었고, 1차 분석 결과 보고서를 작성했다.

 

[16주차] 악성코드 샘플 분석2-1.pdf

0.88MB

 

[5줄 요약]

 

1. 기초분석

virustotal을 통해 dgrep.exe 는 트로이 목마일 확률이 매우 높은 것으로 확인이 되었다. 외에도 과거에 있던 이력을 통해 어떤 형태로 동작을 하는지 참고할 만한 자료를 얻을 수 있었다.

 

2. 정적분석

정적분석 결과, 패킹이 되어 있는 것을 알 수 있었다. 생각보다 언패킹 툴을 찾기 쉽지 않았다. 처음에 upx로 진행했지만, upx로 언패킹이 되어 있지 않았기에 언패킹에 실패했다. 이후,  RL!dePacker를 통해 언패킹을 시도했지만 결과적으로 실패했다. 그래서 언패킹을 시도하지 못 한채 다른 정적분석(BinText)을 통해 알아 보았다. 아무래도 언패킹이 제대로 되어 있지 않아 대부분의 text는 확인이 불가능 했으며,  .dll 정도만 파악이 되면서 트로이 목마의 흔적만이 발견되었다.

 

3. 동적분석

정적분석만으로는 한계가 있어, 프로세스 동작형태와 외부 통신 또는 설치가 있는지 알아보기 위해 동적분석을 시행했다. 우선 악성코드를 실행시키고 Process Explorer을 통해 확인한 결과, 이전 트로이목마와 다르게 자신을 은폐하려 하지 않았다. 추가적인 파일 설치가 있지 않을까 하여 AutoRuns로 비교분석을 했지만 이 역시 달라지는 점은 없었다. 이후, 네트워크 통신이 있을까 해서 wireshark로 분석을 해보았지만 이 또한 눈에 띄는 형태는 찾을 수 없었다.

 

4. 결과

아무래도 언패킹을 제대로 하지 못하다 보니 정적분석에 한계가 있었다. 그리고 이상하게 악성코드가 자신의 역할을 하지 않는지 동적분석도 잘 되지 않았다. 결과적으로 이번 1차 dgrep.exe 악성코드 분석은 원하는 결과를 가져오지 못한 것 같다.

 

5. 보완

2차분석 때에는 GunPacker 라는 언패킹을 통해 dgrep.exe를 언패킹을 시도할 것이다. 그리고 관리자 권한으로 실행시켜 다시 한 번 악성코드의 동작 상태를 확인해볼 예정이다. 2차 때에는 조금 더 제대로 된 분석이 되길 기대해 본다.

 

 

---

 

이번 분석 조금 많이 해맸다. ㅋㅋㅋ 아무래도 악성코드 분석에 익숙하지 않아서 인 것도 한 몫을 한 것 같다. 이러한 시행착오를 통해 더욱 성장하는 계기가 되었으면 한다 ㅎㅎ 다음 주도 화이팅해서 이번에는 더 제대로된 결과 보고서를 작성해보자!!