악성코드 샘플 분석 (트로이 목마)
이번 주 부터 직접 악성 실행 파일을 기초분석, 정적분석 동적분석을 통해 실습을 진행해보았다.
그리고 그 결과에 대해 보고서를 작성했다.
[5줄 요약]
1. 기초분석
우선 Virustotal을 이용해서 해당 악성 실행파일이 이전 이력이 있는지 있다면 어떠한 내용으로 있는지 혹은 새롭게 분석을 해서 70개 이상의 안티바이러스로 분석했을 때 몇개가 탐지하고 다수의 탐지 악성코드 분류는 무엇인지 파악을 했다. 그 결과, 해당 악성실행파일은 트로이 목마로 판별이 되었다.
2. 트로이목마의 특성
- 자기 은폐성
- 원격 제어
- 정보 유출 및 데이터 탈취
- 파일 다운로드 및 실행
- 정상적인 프로그램처럼 위장
- 네트워크 연결
- 시스템 손상
3. 정적분석
Exeinfo PE : 해당 툴로 악성실행 파일이 패킹이 되어 있는지 확인했다 -> 패킹이 되어 있지 않아서 따로 언패킹은 할 필요가 없었다.
BinText : 바이너리로 되어 있는 악성코드 파일 내용을 String으로 변환하여 악성코드로 의심가는 문자열을 찾아보았다. 그 결과, http://a-ton ~ 이라는 악성코드 설치하려는 의도와, KERNEL32.dll, USER32.dll 등 시스템 리소스를 조작 및 운영체제 기능 모방 등의 의도가 확인이 되었다.
PEview : 이 툴을 활용하여 정적 분석이 잘 되었는지 한 번 더 확인을 진행했다.
4. 동적분석
ProcessExplorer : 실시간 실행 중인 프로세스 확인 하는 툴로써 악성코드를 실행하고 관찰한 결과, 실행되자마자 종료되는 모습을 보였다. 이는 트로이목마의 은폐 기능을 의심할 수 있다.
Autoruns : 악성 코드 실행 전 후의 변화를 확인할 수 있는 Autoruns로 은폐하거나 위장하고 있다면 실행 전 후 비교했을 때 발견 될 것이라 판단하여 진행했다. 그 결과 변함이 없다고 판별이 났다.
WireShark : 실시간 네트워크 통신을 확인할 수 있는 툴이다. 이를 활용해서 악성코드 실행시 의심가는 ip를 찾으려고 노력했지만 큰 특이사항은 발견되지 않았다.
5. 결과
해당 악성코드는 Virustotal에서 트로이목마로 확인이 되고 거기에 대한 이력들이 있지만, 직접 분석을 했을 때는 트로이 목마라는 흔적만 확인이 가능하고 실질적인 증거는 확보하지 못했다.
악성 코드는 상황에 따라 작동을 할 수도 안 할 수도 있다. 조금 더 시간을 가지고 여러 번 분석을 하거나, 해당 악성코드가 지금의 VMware 환경에서 작동이 안 되는 것인지 등 파악이 필요하다.
다양한 분석 도구 툴을 활용한 첫 악성코드 분석 실습이었다.
반복을 통해 여러 번 확인이 필요한 상황도 있었기에 생각보다 시간이 많이 걸렸다.
앞으로 더 다양한 악성코드를 분석해보는 시간을 가질 텐데, 오늘 보다는 내일 내일보다는 모레 실력을 더 키워나가야겠다.
그리고 분석의 정확도와 보고서의 퀄리티를 높여나갈 예정이다.
다음 주도 화이팅이다 !!