정적, 동적 Tool 실습
악성코드 샘플 수집
"MalwareBazaar" 사이트에서 악성코드 샘플을 하나 수집해왔다.
database 창으로 들어와 가져오고 싶은 악성코드를 다운 받아오면 된다.
위 사진은 악성코드에 어떤 위험이 있는지에 관한 정보 창
다운을 받으면 압축해제가 암호가 걸려 있어 해제가 되지 않는 경우가 있을거다.
이를 위해 7-7zip를 다운 받아 압축해제를 해준다.
그러면 세팅완료!
정적분석 Tool
Exeinfo(패킹여부 확인)
아직 자세히는 몰라 윗줄과 아랫줄이 무엇인지 gpt에 물어본 결과
윗줄
-현재 파일은 AutoIt으로 작성된 프로그램이거나 AutoIt으로 생성된 실행 파일이며, 추가적인 데이터(Overlay)가 포함되어 있지만, 악성코드는 감지되지 않았습니다.
아랫줄
-이 메시지는 해당 실행 파일이 AutoIt 스크립트로 작성된 파일이며, 코드의 크기가 크고 분석이 필요하다는 것을 알리고 있습니다. 디컴파일러를 사용하여 실행 파일을 AutoIt 스크립트로 변환하면, 내부 코드를 자세히 분석할 수 있으므로, 이 과정을 추천하는 것입니다.
디컴파일을 통해 코드의 구조와 동작을 파악하고, 필요한 경우 이를 수정하거나 분석하여 악성 코드 여부를 확인하는 것이 좋습니다.
Bin Text (문자열 확인)
문자열들을 해석하여 악성코드 파일인지 확인 가능하다
오른쪽 밑에 Save 버튼을 누르면 현재 bintext에 나와있는 형식을 텍스트 파일로 저장 가능하다
저장한 텍스트 파일 내부
동적분석 Tool
process Explorer(프로세스)
녹색 : 프로세스 실행
빨간색 : 프로세스 종료
분홍색 : 서비스 프로세스
파란색 : 사용자 프로세스
보라색 : 패킹 이미지 파일
무색 : 시스템 영역 프로세스
Set Priority : 프로세스에 대한 기본 스케줄링, 우선순위 확인 및 설정
Kill Process : 프로세스 강제 종료
Kill Process Tree : 프로세스의 자식 프로세스까지 종료
Restart : 프로세스 재시작
Suspend : 프로세스 일시정지
Create Dump : 현재 메모리를 선택해서 덤프파일을 만든다
Check Virus Total : 바이러스 토탈에 따로 접속하지 않고 몇 개의 엔진에서 검출이 되는지 실시간으로 파악 가능
악성코드를 실행시켜 Process Explorer로 관찰
악성코드 실행시 프로세스가 실행되고 바로 사라진다.
Autoruns(파일 및 레지스토리)
Autoruns 는 윈도우가 부팅 후 자동으로 시작되는 서비스 또는 프로그램을 모니터링 할 수 있는 툴이다.
1.악성코드 실행 전 Autoruns 상태를 저장
2.악성코드 실행 후 새로고침(F5)
3.File 탭 -> compare로 비교
어떤 프로그램이 실행되었는지와, 어떤 레지스트리가 등록되는지 확인 할 수 있다.
Wireshark(네트워크)
오고가는 패킷을 실시간으로 잡아내는 것을 확인 가능하다
No. : 패킷을 수집한 순서
Time : 패킷이 수집된 시간
Source : 패킷을 보낸 주소
Destination : 패킷 도착 주소
Protocol : 프로토콜 정보
Length : 패킷의 길이
Info : 패킷 정보
위에 상단바에 보면 "Apply a display filter" 라고 쓰여있는 공간이 있다. (위 그림에서 ip라고 적힌 부분)
이 곳에다가 원하는 필터링 식을 적용하거나, 상단 메뉴에 Analyze > Display Filters... 에 들어가서 적용할 수 있다
ip만 쳐도 사용할 수 있는 필터의 예시를 보여준다.
- eth.addr//출발지나 목적지 MAC 주소로 검색
- ip.addr// 출발지나 목적지 IP주소로 검색
- tcp.port// TCP 출발지나 목적지 포트 번호로 검색
- ip.src !=// 출발지 IP주소가 해당 IP주소가 아닌것 검색
- eth.dst// 목적지 MAC주소 검색
참고 블로그
ppt