기초 정적 분석 실습 -1
실습 1-1
1.exe 와 1.dll에 대한 기초 정적 분석 실습
1. virus total에 파일을 업로드 한 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가?
이 파일을 virus total에 넣어봤습니다.
그리고
먼저 이파일의 해쉬값을 확인을 합니다.
2. 이 파일은 언제 컴파일 되었는가?
이파일이 언제 컴파일 되었는 가를 판단합니다.
이것을 알아보려면
peview.exe를 봅니다.
time Date Stamp 로 2010년 12월 19일에 컴파일이 된것입니다.
이번에 dll도 올려보게되면
애도 같은 위치에 같은 환경에서 같은 날짜로 같이 개발됫다고 추측할수있다.
이파일이 패킹되거나 난독화 징후가 있는지를 확인해봅시다.
3. 이파일이 패킹되거나 난독화 징후가 있는가 ? 그러면 무엇으로 판단했는가?
패킹이 되어 있지는 않은것 같습니다.
peid 프로그램
4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가 그렇다면 어떤 임포트인가?
.exe 파일을 peview로 열어봤을때는
이런게 존재하고 import 쪽을 보면
findclose
findnext file
findfirst file
첫번쨰 파일을 찾고 다음파일로 넘어가고 마지막엔 파일을 닫습니다.
그리고 어떤파일을 연뒤에 복사를 하는것도 보입니다.
dll파일에서 peview 로 관찰했을때
sleep 작업을기다리거나 예약 시전할떄
createProcessA 는 프로세스를 만드는 작업
create MutexA 는 기존에 있는 프로그램을 다시띄우게하는 중복실행을 방지
그리고 WS2_32.dll 은 소켓 프로그래밍할떄 사용하는 dll 입니다.
아 소켓을 통신을 하는구나 볼수있습니다.
그래서 이 1.dll은 소켓 통신을 통해 프로세스를 만드는 작업을 할거라 유추하는 것을 보고
이것은 백도어 프로그램 일까 아닐까
유추를 해볼수가 있었습니다.
5. 감염된 시스템에서 검색할 수 있는 파일이나 호스트 기반의 증거가 존재하는가
감염된 장비에서 이 악성코드를 발견하기위해 사용한 네트워크 기반의 증거는 무엇인가 ?
이것은 문자열을 보면 됩니다.
strings.exe Lab01-01.exe > lab01-01.txt
이렇게 .exe 파일의 문자열들을 이렇게관찰 할 수있었는데
잘보니까 kernel32.dll 은 정상적인 것인데 잘보니 kerne132.dll 즉 L 이아니라 숫자 1이라는 것을 알수있었다.
이것을 보면 이것은 단지 위장을 위해서 했던거 같다.
그리고 Lab01-01.dll 도 같이 사용을 합니다
Lab01-01.dll 을 혹시모르니 문자열을 확인해봅시다.
exec 실행하는 내용이고
백도어라서 연락수단이 필요할거고 프로토콜이 필요할 것입니다
ip 주소가 들어가있는데 localhost로 되있습니다.
127.26.152.13 이 유력한 네트워크 기반의 증거가 될수가 잇습니다.
이것도 탐지의 기준이 될 수가 있습니다.
7.이파일의 목적은 무엇이라고 판단했는가?
이파일은 Lab01-01.dll을 참조도하는데
소켓 프로그래밍할떄 사용하는 dll 까지 참조를 하니까
네트워크를 이용해 백도어를 삼으면서 위장을 하는 프로그램이라는 것을 유추해볼 수가 있습니다.
============================================================
1-4 번은 이런식의 실행 파일이있다.
4D 5A 즉 MZ 시그니쳐
bin파일로 저장을하고 exe파일로변경을합니다.
'악성코드 및 포렌식' 카테고리의 다른 글
| 기초 동적 분석 도구 (0) | 2021.03.07 |
|---|---|
| 기초 정적 분석 실습 - 2 (0) | 2021.03.07 |
| 악성코드 분석 방법 및 기초 정적 분석 (0) | 2021.03.06 |
| upx 언패킹, 레나 듀토리얼 21번 (0) | 2021.03.06 |
| 패커 (0) | 2021.03.06 |
