Mission
- 환경구성 : 악성 샘플을 분석하기 위해서는 로컬 환경이 아닌 윈도우와 동일한 가상환경을 구성하여 그 환경에서 진행해야 한다.
효과가 미비한 악성샘플의 경우는 백신에 의한 치료를 하면 되지만, 랜섬웨어 같은 크리티컬한 감염일 경우에는 해결한 방법이 없다.
- vmware 다운 및 windows 설치
- 가상머신 인터넷 연결
- evernote에 접속하여 동적 분석 tool 다운
tool 종류
1) 동적 분석 도구
-
CurrPorts :
현재 열려있는 모든 TCP / IP 및 UDP 포트 목록을 로컬 컴퓨터에 표시하는 네트워크 모니터링 소프트웨어 (실시간 네트워크 연결 분석)
-
Process explorer / Process Monitor
시스템 프로세스 모니터링 및 분석 도구
-
Autoruns : 윈도우 시작 프로그램 분석
시스템 부팅 시 또는 사용자 로그인 시 자동으로 실행되도록 구성된 소프트웨어를 식별
-
SmartSniff : 네트워크 트래픽을 모니터링하고 분석하는 데 사용되는 무료 패킷 스니핑 도구
-
WireShark
2) 정적 분석 도구
-
Exeinfo PE : Windows 실행 파일(.exe) 및 라이브러리(.dll) 파일의 정보를 분석하고 세부 사항을 제공하는 유틸리티
패커나 암호화 프로그램으로 보호되어 있는지 식별
-
bintext : 실행 파일 또는 바이너리 파일에서 텍스트 문자열을 추출하는 유틸리티
-
peview : Windows 실행 파일 또는 DLL 파일의 PE(Portable Executable) 구조를 분석하고 시각화하는 도구
PE 헤더, 섹션, 리소스, 임포트와 익스포트 테이블 등 파일의 각 구성 요소를 상세히 보여준다.
PE 파일 구조를 트리 형태 등으로 시각적으로 표현해 사용자에게 정보를 쉽게 제공
파일의 버전, 서명, 섹션 정보 및 각 섹션의 속성 등을 포함한 다양한 메타데이터를 제공
- 악성 샘플 수집 : 악성샘플 수집 장비를 통해 수집하는 방법은 정탐률이 현저히 낮기 때문에 다른 방법을 이용.
다양한 검색 방법을 통해 악성 샘플을 수집할 수 있는 사이트 검색해보기
악성 코드 샘플을 수집하고 공유하는 온라인 플랫폼
사용자는 특정 악성 코드 샘플을 다운로드하여 분석할 수 있으며, 최신 악성 코드 샘플에 대한 정보와 메타데이터를 제공한다. 또한 다양한 필터링 기능을 제공하여 특정 유형의 악성 파일을 쉽게 찾을 수 있다.
각 샘플에 대한 해시, 제출 날짜, 파일 크기 등의 메타데이터를 확인할 수 있다.
- malwarebazzar
-
MalShare
-
VirusShare
- Malware traffic analysis
참고
https://velog.io/@arkim0111/M1-vmware-Fusion-13%EC%9C%BC%EB%A1%9C-window-11-%EC%84%A4%EC%B9%98
