11. 샘플 분석 환경 구성

SJH·2024년 6월 15일
0
post-thumbnail

VMware 설치

VMware Workstaion Pro 17 설치
(Pro는 유료판이지만 30일 무료체험이 가능하고 기간이 지나도 Snapshot 같은 유용한 기능은 여전히 사용 가능)

Install 버튼을 누르고 쭉쭉 진행해주면...

VMware 설치 완료 후 Finish 버튼을 누르면 밑의 창이 뜨는데,
유료 라이센스 키가 없으므로 밑에 30일 무료체험 선택

처음 VMware을 설치했을 때의 화면
가상 운영체제 환경을 생성하기 위해 Create a New Virtual Machine을 클릭

가상환경 설치

VMware측에서 추천하는 Typical로 선택해주고

운영체제를 어떤 식으로 설치할 것인가 선택창이 나오는데,
에버노트에서 다운받은 Windows 7 운영체제 iso 파일로 설치 진행

Full name 입력 후 Next 클릭

가상머신의 파일 위치 설정

가상환경의 하드용량을 60기가로 설정해주고
Store virtual disk as a single file : 파일 하나에 압축
Split virtual disk into multiple files : 파일을 여러 개 생성

둘 중 어떤 것을 하던 크게 상관은 없지만
파일 하나에 압축하는 것이 깔끔하므로 위에 거 선택

VMware 버전 : 17.5
운영체제 : Windows 7
하드디스크 용량 : 60GB
메모리 : 1GB
네트워크 연결방식 : NAT

설정된 세팅 확인 후 Finish 클릭

설치를 다 하고나면 이런식으로 윈도우7 초기화면이 나오는데,
Windows 7 Professional K 설치

계속 기다리면...

가상환경 설치 완료

그 다음 할 일은 네트워크 연결 확인 및 VMware Tool 설치

네트워크 확인

홈 네트워크 설정 후 가상환경 Setting에 들어가 Network Adapter에서 NAT 연결 설정 후

시작버튼 → 제어판 → 네트워크 및 인터넷 → 네트워크 및 공유센터
네트워크가 정상적으로 연결된 것을 확인

VMware Tools 설치

VMware Tools을 설치하는 이유

  • 훨씬 빠른 그래픽 성능
  • 개선된 마우스 성능
  • Drag&Drop 기능 - Host PC에서 가상 PC로 파일을 바로 드래그하여 전달 가능

즉 VMware Tools은 가상 환경을 최적화 시켜주는 유틸리티 모음
단, Windows 보안 업데이트를 사전에 진행해야 VMware Tools 설치 가능

가상환경 PC에서 Microsoft Update Catalog에 접속해 오른쪽 위 검색창에 ‘KB4474419’ 검색 후, 맨 밑에 x86 기반 시스템용 Windows 7 보안 업데이트 다운로드
설치가 끝나면 자동적으로 재부팅

재부팅 후 왼쪽 상단에 VM 창을 누르고 ‘Install VMware Tools’ 버튼을 클릭

VMware Tools 설치 완료

이제 Drag&Drop 기능을 활용해 Host PC에 있는 파일을 가상환경 PC로 마우스로 끌어오기 가능

Snapshot 기능

스냅샷 기능이란?
특정 시점의 데이터를 저장하고, 사용자가 원할 때 다시 저장된 시점의 데이터로 복원할 수 있는 기능

스냅샷 기능의 사용 이유?
악성코드 분석에서 악성코드 실행 후 가상환경이 동작불능 상태가 되었을 때 ,
스냅샷 기능을 활용해 악성코드 실행 전 시점으로 복구하기 위해 주로 사용

첫번째 탭: Snapshot 추가
두번째 탭: 바로 전 Snapshot 했던 곳으로 이동
세번째 탭: Snapshot을 전체적으로 관리 (삭제, 생성 등)

밑 이미지는 Snapshot의 첫번째 탭을 클릭했을 때 나오는 이미지
현재 스냅샷을 저장하고 싶으면 Take Snapshot 클릭

왼쪽 상단에 VM 창을 누르고 Snapshot 부분을 보면 ‘Snapshot 1’ 상태로 특정 시점의 스냅샷이 저장되어있는 걸 확인할 수 있음

종료 기능

종료 방법 1
평상시 우리가 컴퓨터를 종료하는 것과 같이 시작버튼을 누르고 시스템 종료 버튼을 누르는 방법

종료 방법 2
왼쪽 상단에 File → Exit 을 통해 종료하는 방법

악성 샘플을 수집할 수 있는 사이트

  1. Hybrid Analysis
  • 악성코드 분석, 악성샘플 수집 시 많이 사용되는 사이트
  • 자체적으로 Sandbox를 운영, Sandbox 기반의 분석 내용 제공
    (Sandbox : 악성 코드 등을 분석하고 실행하는데 사용되는 도구)
  • 악성코드를 다운받기 위해서는 가입이 필수이며 이때 특수한 권한 필요
  1. Malshare
  • 악성코드 등을 공유하는 무료 사이트로 1-2일 주기로 선별된 악성코드 제공
  • 최근 24시간 이내에 사람들이 가장 많이 검색한 악성코드가 무엇인지 확인 가능
  • 다른 사이트에 비해 샘플 보유수가 적은 편
  1. Malware Traffic Analysis
  • 네트워크 패킷이나 악성코드 샘플 파일 제공
  • 분석 후 결과 제공

보완점

  • 악성코드를 분석할 때는 항상 가상환경 내에서만 분석

  • 악성 샘플을 수집할 수 있는 사이트 더 알아보기

  • 가상환경으로 악성코드 분석 시 스냅샷 기능 적절히 활용

profile
SJH
보안, 클라우드 공부정리 블로그
이전 포스트

10. 악성코드 정적, 동적 분석

다음 포스트

12. 정적, 동적 Tool 실습

0개의 댓글