보안관제 프로젝트_(샘플링, 기초분석)
이번에는 직접 악성 코드를 샘플링하고 기초분석까지 하는 실습을 진행했다.
이번 악성코드는 네트워크 행위가 직접적으로 보이는 것을 찾는 것이 중요 했다.
향후 snort를 활용해서 패턴 기반 탐지를 하기 위해서이다.
샘플링 ? 쉽지 않았다 ㅠㅠ
하지만, 기어코 찾아 냈고, 기초분석까지 진행하고 ppt를 제작했다.
[4줄 요약]
1. 적절한 악성코드를 샘플링을 위해 4가지의 도구를 활용했다.
- MalwareBazzar : 악성코드 샘플사이트
- VirusTotal : 악성코드 분석 사이트
- ANY.RUN : 악성코드 샘플 샌드박스에서 실행하는 사이트
- SmartSniff : 패킷 모니터링 툴
2. HTTP 네트워크 행위가 많은 악성코드를 샘플로 선택했다. 대표적으로 adware, spyware 이다. 이 중 adware를 MalwareBazzar 사이트에서 adware 를 검색했다.
3. MalwareBazzar에서 찾은 adware 의 해쉬 값을 복사해서 VirusTotal에 입력했다. 여기서 HTTP Request 와 IP traffic이 많은 것을 기준으로 선정했다. 그리고 그 중에서 VirusTotal에서 나온 URL, IP 그리고 ANY.RUN에서 나온 URL, IP 등이 본인 VMware에 악성코드를 실행시키고 SmartSniff를 동작시켰을 때 나온 패킷의 URL, IP가 비슷한 것이 많은 것을 채택했다.
4. 채택한 악성코드를 기초분석한 결과, adware의 특성을 보이며, 중국에서 만든 파일로 유추할 수 있었다. 외에 많은 HTTP Request, IP traffic을 보내고 있음을 알 수 있었고 그 과정에서 file을 제어하는 모습도 간접적으로 확인할 수 있었다.
정적분석을 할 때, 패킹여부를 다시 한 번 확인하고 VirusTotal에서 확인했던 파일을 조작하거나 HTTP Request, IP traffic에 있는 도메인이 text에 있는지 확인해볼 것이다.
동적분석을 할 때에는 VirusTotal에서 확인했던 HTTP Request와 IP traffic 등을 참조하여 네트워크 통신을 확인 할 것이다.
악성코드 샘플링이 쉽지만 않은 것을 알 수 있었다. 악성코드는 되게 예민하기 때문에 원하는 대로 동작하지 않을 수도 있기 때문이다. 찾는데 시간이 많이 걸리긴 했지만, 원하는 악성 코드 샘플을 찾을 수 있었던 것 같다.
아직 정적분석 및 동적분석이 남아 있다. 이또한 잘 분석해서 많은 공부가 되었으면 한다.