정적, 동적 분석 Tool 실습
이번 시간에는 실제 악성코드 샘플을 수집한 뒤, 정적 분석 Tool 그리고 동적 분석 Tool에 직접 넣어보며 어떠한 반응이 일어나는지 알아보는 시간을 가졌다.
그리고 그 결과에 대해 요약하여 정리했다.
[3줄 요약]
1. 정적 분석 Tool 실습
Exeinfo PE : 해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 했는지 확인할 수 있었다.
BinText : 파일에 포함된 문자열(ip, 도메인 주소, 실행 파일, 명령어)을 확인할 수 있었고, 이는 동적분석 때 참고할 수 있다.
PEview : 여러가지 정보를 다 볼 수 있어서 정적 분석을 전부 다 한 뒤에 최종적으로 한 번 더 확인 할 때 유용하다.
PEiD : Exeinfo PE와 비슷한 기능을 하는 Tool이긴 하나, 요즈음 업데이트가 안 되고 있기 때문에 잘 사용하지 않는다.
IDA Pro : 리버스 엔지니어링 등과 같은 깊은 정적분석 때 이용이 된다.
2. 동적 분석 Tool은 분석하고자 하는 것에 따라 세 가지로 나뉜다.
1. 프로세스 확인용
2. 파일 및 레지스토리 확인용
3. 실시간 네트워크 트래픽 및 패킷 분석용
3. 동적 분석 Tool 실습
Process Explorer : 실행 중인 프로세스 목록 및 트리 확인이 가능했다. 악성코드 실행 시 발견을 할 수 있었다.
Process Monitor : 실행 중인 프로세스를 모니터링 할 수 있다. 필터링을 통해 모니터링 하고자 하는 것만 볼 수 있다. 로그 저장이 가능하다.
Autoruns : 악성 코드 실행시 어떤 부분이 변화하는지(실행되는 파일 및 레지스트리가 등록이 되는지) 확인이 가능하다.
Smartsniff : 실시간 네트워크 트래픽 및 패킷 분석이 가능하다. (WireShark보다 간소화 버전 느낌이라 주로 WireShark를 이용한다.)
WireShark : 실시간 네트워크 트래픽 및 패킷 분석이 가능하다. 필터링을 통해 보고자 하는 것만 확인이 가능하다.
*WireShark를 제대로 분석하기 위해서는 3-way-handshake, 4-way-handshake, 재전송, 6개의 플래그 등을 잘 파악해야 한다.
다음 주는 실제 악성코드 샘플을 가지고 기초분석 Virustotal 부터 시작해서 정적분석 그리고 동적분석을 통해 악성코드를 분석해 볼 것이다.
다음 주도 화이팅해서 잘 진행해보도록 하겠다 !!