[리팩토링] #13 정적, 동적 Tool 실습

Hyungjun·2024년 11월 21일
리팩토링-보안

리팩토링-보안

목록 보기
7/11

Mission

  1. 정적분석과 동적분석을 위한 Tool 에 대한 사용법을 좀 더 상세히 분석
  2. 해당 Tool이 어떤 기능을 하는지 직접 사용하여보며 알아보기

악성코드 샘플 수집

MalwareBazaar

악성코드 샘플을 가지고 Tool을 사용해 보면 현실감있게 실습을 할 수 있을 것 같아서 MalwareBazaar 에 들어가 database에서 악성코드 샘플을 다운받겠다.
들어갈 때마다 새로운 악성코드들이 업데이트되고, 어떤 유형인지, 누가 올렸는지도 알려준다.

Downlad sample을 클릭한다.

가상머신이 아닌 로컬 컴퓨터로 하면 매우 위험하다고 경고한다. 가상머신 스냅샷도 같이 찍어둔다.

MalwareBazaar 에서 제공하는 zip은 비밀번호가 있다. 화면에서 보다시피, infected 이다. 7 zip이 있어야 비밀번호가 있는 zip 파일을 압축풀기 할 수 있으니 다운받아준다. 그 후 압축 풀기까지 완료하여 분석 준비를 마쳤다.

기초분석

VirusTotal

정적, 동적 분석에 들어가기 앞서서, 가장 간단하게 할 수 있는 분석, 기초분석 툴인 VirusTotal에 다운받은 악성코드 샘플을 넣어보자.

  • 윈도우 32bit 형식으로 작동되면서, 트로이목마 형태의 악성코드임을 알 수 있다.

정적분석 Tool

Exeinfo

제공받은 정보를 바탕으로 패킹 여부 및 사용된 패커를 확인하여, 알맞은 언패킹 프로그램을 활용 후 압축을 풀어 악성코드를 분석할 수 있다.

Themida & WinLicense 2.0 - 2.4.6 - struct (Hide from PE scanners II-V): 이것은 Themida와 WinLicense 버전 2.0부터 2.4.6이 사용되었다는 것을 의미합니다. 이들은 PE(Portable Executable) 스캐너로부터 파일을 숨기는 구조적 기법을 적용하며, 이는 보호 기능의 일부이다.

Big sec. 04 [ scvkqnwb ]: 이 섹션의 이름과 큰 크기는 파일이 난독화되어 방어 메커니즘을 포함하고 있음을 나타낸다. 이름이 일반적이지 않으며, 난독화에 의해 무작위로 지어진 이름일 가능성이 높다.

try Olly Debugger v2 and script: Olly Debugger는 주로 Windows 플랫폼에서 실행 파일을 디버깅하는 데 사용되는 툴이다. 이 문구는 Olly Debugger v2를 사용하여 해당 파일을 분석하고 스크립트를 이용해 보호 메커니즘을 우회하라는 제안을 의미한다.

linker info가 48이고 빨간색으로 표시되는 것: 링크 정보가 48로 표시되는 것은 PE 헤더에서 특정한 링커 버전을 나타낸다. 빨간색으로 표시되는 것은 일반적으로 문제나 주의사항을 경고하는 표시일 수 있다. 이는 비정상적인 링크 버전이거나 보안 혹은 무결성 문제를 암시할 수 있다.

Bintext

문자열들을 해석하여 악성코드 파일인지 확인 가능하다

save 를 누르면 txt 파일로 다운도 가능하다.

  1. IP 주소
  2. URL 주소
  3. 실행 파일
  4. 명령어
  5. 자체적으로 쓰이는 함수 
    등은 보이지 않았다.

PEView

Windows 용 실행 파일인 PE ( Portable Executable ) 의 구조를 분석할 수 있는 툴

동적분석 Tool

CurrPorts

사용자의 네트워크에 접근하고 있는 모든 프로세스와 사용 포트 지역주소, 실행파일의 이름 경로, 프로토콜 등을 볼 수 있다.
특정 연결을 선택한 후 X 버튼(Close Selected Ports)으로 해당 포트의 접속을 종료할 수 있다.

특정 연결을 선택한 후 저장 버튼(Save Selected Items)으로 해당 연결 정보를 파일 형태로 저장 가능하다.

autoruns

해당 툴은 부팅 시 자동으로 실행되는 프로그램 및 서비스를 모니터링하고 관리하는 도구이다.악성코드 분석 시 악성파일을 실행하기 전과 후의 스냅샷을 각각 촬영 후 비교하는 방식으로 활용한다.

악성파일 실행 전에 저장 -> 악성파일 실행 -> Compare -> 저장한 파일 불러오기 -> 두 스냅샷을 비교

System Explorer


Process Explorer, Process Moniter, 그 밖에 파일 및 레지스트리 쪽을 분석하는 통합 도구

WireShark

"로컬 영역 연결"을 클릭하면, 위와 같이 해당 인터페이스에서 발생하는 트래픽을 확인할 수 있다.
Source(패킷 출발지 주소), Destination(패킷 목적지 주소) Protocol(프로토콜 정보), Info(패킷 상태, TCP 제어 플래그..) 등 다양한 정보를 확인할 수 있다.

여러 패킷 중 한 가지를 선택하면 아래의 왼쪽 탭(Packet Details)에서 전송되는 패킷에 대한 세부 정보를 살펴볼 수 있다.

Frame Header : 프레임 번호, 패킷 길이 등 Ethernet Header : 출발지 및 목적지 MAC주소, 이더넷 타입 등
Internet Protocol (IP) Header : 출발지 및 목적지 IP 주소, 프로토콜 종류 등
TCP 또는 UDP Header : 출발지 및 목적지 포트 등
또한 작은 좌측 화살표 버튼 클릭 시 체크섬, 플래그 등  더욱 세세한 정보를 확인할 수 있음.

아래의 오른쪽 탭(Packet Bytes)은 좌측 Packet Detail탭 정보를 아스키코드로 변환하여 보여준다.

Windows Security

실행하자마자 트로이목마가 실행되었다고 시스템을 껏다 끄라고 경고하였다.

나는 편안하게 가상머신 스냅샷을 이용해서 악성코드 파일을 다운받기 전으로 되돌렸다.

출처
https://maker5587.tistory.com/19
https://itcase.tistory.com/

profile
Hyungjun
Cloud Security / DevSecOps / AWS
이전 포스트

[리팩토링] #12 샘플 분석 환경 구성

다음 포스트

[리팩토링] #14 bton02setup.exe 분석

0개의 댓글