악성 코드 샘플 분석 2-2

이번 한 주는 저번 1차 분석 이어 보완을 하고 다시 진행해보는 시간을 가졌다.

 

분석대상은 "dgrep.exe" 라는 악성코드였다.

 

저번 1차 때에는 제대로된 언패킹을 하지 못해서 정적분석에 한계가 있었고, 동적분석 역시 악성코드 동작이 확인이 되지 않아 제대로된 분석을 할 수 없었다.

 

이번 2차에서는 GunPacker 이라는 언패킹 툴을 사용할 예정이고, 관리자 권한으로 악성코드를 실행시켜서 동적분석을 할 예정이다.

 

[17주차] 악성코드 샘플 분석2-2.pdf

0.80MB

 

 

[4줄 요약]

 

1. 기초분석

Virustotal을 통해 dgrep.exe는 트로이 목마일 확률이 매우 높은 것으로 확인이 되었다. 외에도 과거에 있던 이력을 통해 어떤 형태로 동작을 하는지 참고할 만한 자료를 얻을 수 있었다.

 

2. 정적분석

1차와 다르게 GunPacker를 통해 언패킹을 시도했다. 언패킹을 성공은 했지만, 완벽하게 언패킹은 되지 않았다. 그래도 이전과는 다르게 BinText에 덤프 파일을 넣어본 결과, 의심가는 이메일, C드라이브에 경로를 두어 정상적인 파일로 보이려는 흔적과 Microsoft 회사이름을 두어 신뢰가게끔 하려는 흔적을 발견할 수 있었다. 외에도 USER32.dll, KERNEL.dll 등이 확인 됨으로써 OS 자체를 조작하려는 흔적까지 발견할 수 있었다.

 

3. 동적분석

1차와 다르게 관리자 권한으로 악성코드를 실행하고 분석을 실시했다. 하지만, 1차분석 때와 같이 제대로 동작하지 않는다는 것을 확인할 수 있었다.

 

4. 결과

2차에서는 1차 보다는 정적분석 부분에서 더욱 진전된 분석 결과를 도출할 수 있었다. 하지만, 동적분석은 1차 2차 모두 제대로 보이는 동작을 발견할 수 없다보니 분석하기가 난감했다. 원인은 2가지정도로 볼 수 있을 것 같다.

첫째, X64 or X32 기반으로 돌아가는 악성코드일 확률이 있다. 이는 ARM 기반으로 돌아가는 VMware에서 작동 안 할 수도 있다.

둘째, 너무 오래된 악성코드다 보니 동작 빈도가 현저히 줄어든 악성코드일 수 있다. 악성코드는 항상 같은 현상을 보이지 않는다.

 

---

이번 분석을 통해 악성코드 분석도 쉽지 않다는 것을 알 수 있었다. 하지만 이것 역시 경험이고 노하우가 생기는 과정이다.

 

다음 분석 부터는 실제 보고서를 작성하고 분석 결과를 상세하게 작성해서 어떤 악성코드인지 결론을 도출하는 시간을 가져볼 예정이다.

 

더 열심히 해봐서 전문가가 될 수 있도록 최선을 다 할 예정이다.