보안관제 프로젝트_(정적분석, 동적분석)

이번 주는 보안관제 프로젝트 샘플링(adware), 기초분석 다음인 정적분석과 동적분석을 진행했다.

 

확실히 괜찮은 샘플링은 찾았었기에 정적분석 및 동적분석이 수월한 점이 있었다.(하지만 분석하는 시간은 많이 걸리긴 했다 ㅋㅋㅠ)

 

정적분석 동적분석을 분석한 후, 저번 기초분석에 이어 PPT 를 제작해서 발표를 진행했다.

 

[22주차] 보안관제 프로젝트_(정적분석, 동적분석).pdf

2.31MB

 

 

[4줄 요약]

 

1. 기초분석

 25/2/13 f935~ 로 시작하는 악성코드를 분석한 결과, adware의 특성을 보이며, 중국에서 만든 파일로 유추할 수 있었다. 외에 많은 HTTP Request, IP traffic을 보내고 있음을 알 수 있었고 그 과정에서 file을 제어하는 모습도 간접적으로 확인할 수 있었다.

 

정적분석을 할 때, 패킹여부를 다시 한 번 확인하고 VirusTotal에서 확인했던 파일을 조작하거나 HTTP Request, IP traffic에 있는 도메인이 text에 있는지 확인해볼 것이다.

 

동적분석을 할 때에는 VirusTotal에서 확인했던 HTTP Request와 IP traffic 등을 참조하여 네트워크 통신을 확인을 할 것이다.

 

2. 정적분석

 해당 악성코드는 7zip으로 압축되어 있었고, 7zip으로 언패킹을 시도할 수 있었다. 이후, Exeinfo PE로 확인했을 때 C++언로 되었음을 확인할 수 있었다.

 BinText로 확인했을 때, VirusTotal에서 확인했던 HTTP Request 요청과 Files dropped이 많았다.

 

 a.clickdata~와 같은 도메인과 중간자 공격이 쉬운 HTTP 요청이 많았다

 

3. 동적분석

 전체적으로 동적분석 툴을 활용해서 분석해 보았을 때, 자신을 위장하는 형태를 보이고 각종 OS를 조작하려는 접근형태가 보였다.

 외부 IP와 TCP 통신을 지속적으로 하는 것을 확인할 수 있었고, 대부분 기초분석 및 정적 분석에서 확인했던 IP와 URL과 동일했다.

 실제 통신은 HTTP 통신이 대다수인 것이 확인이 되었다.

 

 

4. 결론

 기초분석, 정적분석, 동적분석을 토대로 확인해 보았을 때, a.clickdata.com 같이 광고 및 추적이 의심되는 HTTP 통신이 있었고 그 외에도 다양한 HTTP 통신이 많았다.

 이는 adware 개발자가 사용자의 정보를 쉽게 추출하거나 데이터를 변조하기 위함으로 해석이 될 수 있다. 따라서 이 악성코드는 adware에 가깝다고 볼 수 있다.

 

 

---

 

기초분석, 정적분석, 동적분석까지 진행해 보았다.

 

다음에는 snort로 탐지패턴탐지를 활용해서 완전한 보고서까지 작성해보려고 한다.

 

다음 주도 화이팅이다 !