보안관제 프로젝트_(최종보고서)

저번 기초분석, 정적분석, 동적분석 및 snort rules 으로 악성코드를 분석한 내용으로 보고서를 작성했다.

 

[24주차] 악성코드 분석 최종 보고서.pdf

13.67MB

 

 

보고서를 작성할 때, 6가지를 주의하며 작성을 했다.

 

1. 띄어쓰기, 오타 체크하기

2. 목차 작성하되 상세하게 표현하기 (페이지 넘버링)

3. 최대한 내용은 상세하게 풀어서 작성하기

4. 캡쳐 이미지는 내용이 보이게 끔 캡쳐 하기

5. 캡쳐 이미지 내 확인해야 할 내용은 박스 또는 밑줄로 표현하기

6. 전문 용어 등은 주석 기능 활용하기

 

 

[목차, 결론 및 대응 방안]

 

목차 : 

개요 .................................................................................................................................................. 2

   가) 목적.....................................................................................................................................................2

   나) 분석환경..........................................................................................................................................2

   다) 분석에 사용된 도구...................................................................................................................... 2

   라) 파일정보..........................................................................................................................................3

샘플링 .............................................................................................................................................. 3

   가) VIRUSTOTAL ......................................................................................................................................... 4

   나) ANY.RUN............................................................................................................................................ 6

   다) SMARTSNIFF......................................................................................................................................... 7

기초 분석........................................................................................................................................8

   가) VIRUSTOTAL.......................................................................................................................................8

정적 분석 ......................................................................................................................................14

   가) EXEINFO PE......................................................................................................................................14

   나) BINTEXT.............................................................................................................................................16

   다) PEVIEW..............................................................................................................................................22

동적 분석 ......................................................................................................................................24

   가) PROCESS EXPLORER..........................................................................................................................25

   나) PROCESS MONITOR..........................................................................................................................28

   다) AUTORUNS.........................................................................................................................................30

   라) WIRESHARK........................................................................................................................................31

결론 ................................................................................................................................................ 34

SNORT RULE 생성 ......................................................................................................................35

   가) SNORT RULES...................................................................................................................................36

   나) BASE 결과......................................................................................................................................37

대응방안 ........................................................................................................................................ 38

 

 

결론 :  

 기초분석에서는 VirusTotal를 활용해본 결과, 분석하고자 하는 악성 파일은 adware로 추정이 되었다. DEATAILS 카테고리에서 대략 40개 이상의 url, http(s) 통신과 file을 설치, 수정, 삭제 등의 행위 기록을 확인했다. 외에도 TrID를 통해 해당 악성 파일은 중국에서 만들어진 것을 알 수 있었다.

 

 정적분석에서는 기초분석 VirusTotal에서 확인했던 URL(a.clickdata37wan.com, ocsp1.wosign.com, aia1.wosign.com 등)이 BinText에서 다수 확인이 되었다. 이는 외부로 데이터유출및로컬단말기에설치등을의심할수있다.또한, OS조작이의심이되 는 내장 라이브러리 USER32.dll, KERNEL32.dll 와 외부 라이브러리 FindProc.dll, InstallOption.dll, KillProcDLL.dll, System.dll 등이 있었다. 이는 OS를 조작해서 악성 파일 이 원하는 환경을 구축하려는 행위로 의심이 된다.

 

 동적분석에서 Process Explorer로 확인해 봤을 때, 기존 악성 파일을 실행시키면 f935c~ 와 nz_shokz.exe 2-3개가 동시에 실행이 되었다. 이후에, nz_shokz.exe가 1개로 줄어들었 고 마지막으로 악성 파일 본인인 f935c까지 프로세스에서 삭제가 되었다. 이는 위장하는 것으로 의심이 된다. 그리고 Process Monitor로 확인해 보면 nz_shokz.exe가 레지스트리 키와 환경을 조회하고 메모리에 업로드하는 행위가 있었다. 이 행위는 악성 파일을 위한 환경으로 변경하거나 구축하는 것으로 의심이 된다. 또한, TCP 연결을 시도하고 외부 IP 와 통신을 실시간으로 확인 했다. 이후에 WireShark로 실시간 TCP 통신을 확인해본 결 과, Process Monitor에서 확인했던 IP와 VirusTotal과 확인했던 메서드가 GET인 요청 URL(a.clickdata37wan.com, ocsp1.wosign.com, aia1.wosign.com 등)이 다수 확인이 되었 다. 이는 외부 IP 통신을 통해 원하는 정보를 로컬 PC에 전송하기 위한 것으로 의심이 된다.

 

 종합적으로 분석해 보았을 때, 해당 악성 파일은 VirusTotal 분석에서 다수의 보안 엔진 이 adware로 분류한 점, 다량의 HTTP(S) 통신 및 광고성 URL이 확인이 된 점 그리고 파 일 설치, 수정, 삭제 등의 행위가 기록을 보았을 때 adware의 특성을 보인다. 하지만, 자 기 삭제 및 위장하는 행위에서는 트로이목마, OS 조작이 의심되는 라이브러리(.dll) 사용 에서는 루트킷 그리고 레지스트리 및 메모리 조작, 지속적인 TCP 연결에서는 백도어의 형태도 보인다.

34

 결과적으로, 해당 악성 파일은 단순 adware라기보다는 트로이목마28, 루트킷29, 백도어30 기능이 포함된 악성코드로 보인다.

 

 

대응 방안 : 

 

Adware 대응 방안은 다음과 같다.

 

1. 보안 소프트웨어 사용

• 신뢰할 수 있는 백신 및 안티멀웨어 소프트웨어(예: Windows Defender, Malwarebytes)로 정기적으로 시스템을 검사하고, adware 감염을 방지한다.
• 실시간 보호 기능을 활성화하여 adware 가 시스템에 설치되지 않도록 차단한다.

 

2. 의심스러운 소프트웨어 및 확장 프로그램 삭제

• 제어판(Windows) → "프로그램 추가/제거"에서 불필요한 프로그램이나 알 수 없는 프로그램을 삭제한다.
• 브라우저 확장 프로그램(Chrome, Edge 등)에서 의심스러운 확장 프로그램을 제거한다.

 

3. 팝업 및 광고 차단

• 웹 브라우저에서 팝업 차단 기능을 활성화
• uBlock Origin, AdBlock 과 같은 광고 차단 확장 프로그램을 사용한다.
  • 대표적으로 chrome 은 chrome 웹 스토어에 들어가서 확장프로그램을 선택 후, AdBlock 을 검색하면 설치할 수 있다.

 

4. 출처가 불분명한 소프트웨어 설치 금지

• 크랙된 소프트웨어, 불법 다운로드 사이트 등에서 프로그램을 다운로드하지 않는다.
• 프로그램을 설치할 때 "고급 설치"를 선택하여 원치 않는 번들 소프트웨어 설치를 방지한다.

 

5. DNS 및 네트워크 설정 점검

• 애드웨어는 DNS 설정을 변경하여 가짜 광고 사이트로 리디렉션할 수 있다. DNS 설정을 기본값(Google DNS, Cloudflare DNS 등)으로 변경한다.
• 프록시 서버 설정을 확인하여 악성 서버가 설정되지 않았는지 점검한다.

 

6. 정기적인 업데이트 수행

• 운영체제(Windows, macOS, Linux) 및 브라우저(Chrome, Edge, Firefox 등)를 최신 버전으로 유지한다.
• 보안 패치가 적용되지 않은 취약한 소프트웨어를 제거하거나 최신 버전으로 업데이트한다.

 

7. 수동 제거(고급 사용자의 경우)

• 작업 관리자(Task Manager)에서 의심스러운 프로세스를 확인하고 종료한다.
• **레지스트리 편집기(regedit)**에서 adware 관련 키 값을 찾아 삭제한다.
• C:\Users\사용자\AppData\Local 경로에서 불필요한 프로그램이 설치되었는지
• 확인한다.

 

8. 방화벽 활성화

• 방화벽을 ON 하여 외부로부터 접근을 제한한다.
• Windows보안 > 방화벽 및 네트워크보호에서 활성화 상태 확인
  
  

 

---

 

보고서 작성하는 데 정말 많은 시간을 사용했다 !! ㅋㅋ

 

보고서 작성은 본인이 분석한 내용을 상대방에게 전달하기 위해 신경 써야 할 일이 많았다.

 

비록 많은 시간을 소요하고 그 과정이 힘들었지만, 다음 성장을 위한 필요한 단계였다.

 

고생했다!!

 

계속 열심히 해보자~!