실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-4


 

Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다.
연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다.

Practical_Malware_Analysis
[구매하기]

실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-1
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-2
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-3
실전 악성코드와 멀웨어 분석 – 1장 기초 정적분석 실습 1-4
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-1
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-2
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-3
실전 악성코드와 멀웨어 분석 – 3장 기초 동적 분석 실습 3-4

실습문제 다운로드 받는 곳 : http://nostarch.com/malware

실습 1-4
Lab01-04.exe 파일을 분석하라.

질문
1. http://www.virustotal.com 에 Lab01-04.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
A : 38개의 백신에서 악성코드로 탐지되었다. 대부분의 백신이 Trojan 또는 Downloader 등의 명칭으로 진단한다.
1-4-1

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹되어있고 가능하다면 언패킹해보자
A : 패킹되어있지 않다.
1-4-2

3. 이 파일은 언재 컴파일 되었는가?
A : 2019/08/30 22:26:59 UTC 으로 조작된 것으로 보인다.
1-4-3

4. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알수 있었는가?
A : 파일을 기록(CreateFileA, WriteFile)하고, 실행(WinExec)시키는 API가 존재하고, 리소스를 찾고(FindResourceA), 로드(LoadResource) 하는 API등을 볼 수 있다. 또한 ADVAPI32.DLL 에서는 AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken 등의 API를 볼수 있고, 권한관련 API으로 보인다.
1-4-4

5. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네크워크 기반의 증거를 사용했는가?
A : !This program cannot be run in DOS mode. 부분이 2번 나오는 것으로 보아 두개의 실행파일이 존재하는 것으로 보이며, \system32\wupdmgr.exe, \system32\wupdmgrd.exe 등의 파일명이 보이고, URL(http://www.practicalmalwareanalysis.com/updater.exe)도 하나 보인다.

6. 이파일은 리소스 색션에 하나의 리소스가 있다. Resource Hacker 를 이용해 리소스를 점검하고 리소스를 추출해보자. 리소스로부터 무엇을 알수 있는가?
A : Resource Hacker 에서 열어보니 MZ 으로 시작되는 시그니쳐를 확인할 수 있었다.
Action > Save resource as a binary file 을 선택해서 Lab01-04.res 으로 저장한다.
1-4-5

추출한 Lab01-04.res 파일을 PEiD으로 확인..
1-4-6

그리고 임포트하는 함수도 확인해보니, GetTempPathA, GetWindowsDirectoryA, WinExec 등의 API를 확인할 수 있고,
URLMON.DLL에서는 URLDownloadToFileA API도 확인할 수 있다
1-4-7

 


This entry was posted in Reading, Reversing and tagged , . Bookmark the permalink.

댓글 남기기