일단 이파일은
exeinfo로 확인을 했을떄 패킹이 되어있지가 않습니다.
이번파일의 특징은 그냥 특징은
gui 나 excutable 타입입니다.
c앤c에 명령을 받고 하는애들은 api들이 311개나 나오게됩니다
봇을 발견할때는 어디로부터 나온 봇인지를 추적하는 게 중요하다
어차피 기능이 너무많기 때문에
메모리할당, http 통신, 암호화, 파일 열고닫고, 프로세스 실행, 잠들고, 다들어있기떄무넹
분석해볼필요는 없다
페이스북이나 그런게보이는데
패스워드를 많이입력하는 구간이기때문에
패스워드 관련정보를 위해 모니터링 할수있는 곳이라고 판단이됩니다.
그리고 뭐 antivirus나 그런게있습니다.
파일을 풀면서 뭐하나가 숨겨져있다는 것을 알수있습니다.
봇을 발견하면 c앤c서버로 구성할수있으면 좋다
'악성코드 및 포렌식' 카테고리의 다른 글
| Citadel 악성코드 분석 3 고급 분석 (0) | 2021.04.06 |
|---|---|
| Citadel 악성코드 분석 2 기초 동적 분석 (0) | 2021.04.06 |
| Citadel Atmos CnC서버 설치와 bot 테스트 (0) | 2021.03.31 |
| C언어로 만든 키 후킹 분석하기 (0) | 2021.03.29 |
| 스파이웨어 악성코드 (0) | 2021.03.29 |