악성코드 샘플 다운
bton02setup.exe 악성파일을 다운받아 가상환경으로 옮겨주었습니다.
VirusTotal
VirusTotal로 기초분석을 한 결과 52개의 백신에서 악성 여부를 확인할 수 있었고, Adware, Trojan, Malware 유형의 악성코드인 점을 확인 가능
DETAIL칸을 확인해보니
- 32비트로 만들어진 악성코드
- C++ 언어로 만들어진 악성코드
- 2015년 8월 4일에 만들어진 악성코드
등의 정보 확인 가능
Exeinfo PE
Exeinfo PE를 실행해 악성코드를 드래그한 결과 크게
- C++ 언어로 만들어진 악성코드
- 패킹이 되어있지 않은 악성코드
2가지 정도의 정보를 알 수 있음
BinText
Kernel32.dll, USER32.dll, ADVAPI32.dll, NETAPI32.dll, WSOCK32.dll 등 dll 형식의 파일들이 있는 것으로 보아 프로세스, 레지스트리 등 윈도우의 기본적인 기능 및 네트워크 관련 작업을 수행하는 파일이라는 것을 확인 가능
Kernel32.dll
: 메모리 관리, 파일 입/출력, 프로그램 코드/실행 등 기본적인 기능이 내장
USER32.dll
: 윈도우, 대화 상자, 메뉴 등을 관리
ADVAPI32.dll
: 서비스 관리자나 레지스트리 같은 추가 핵심 윈도 컴포넌트에 접근 가능.레지스트리, 시스템 종료와 재시작, 윈도의 서비스의 시작/종료/생성, 계정 관리 등의 기능 지원
WSOCK32.dll
: 네트워크 기능, 네트워크에 연결하거나 네트워크 관련 작업을 수행
Netapi32.dll
: 운영체제에서 지원하는 다양한 통신 기능을 응용 프로그램이 접근할 수 있도록 지원하는 기능
a-ton.co.kr 이라는 URL주소와 네트워크로 연결되어 해당 주소에서 악성코드에 감염된 PC를 원격으로 조종할 수 있다는 것
또한 nskSetup.exe 실행파일이 있는 것으로 보아 해당 파일이 감염된 PC에서 실행될 수 있음을 추정 가능
Repeat과 del이라는 문자열이 있는 것으로 보아 해당 악성코드는 반복과 삭제가 자체적으로 가능한 악성코드라는 것을 추정 가능
PEview
- 첫 번째 줄에서 MZ칸이 4D 5A - .exe 실행파일
- Value에서 “This program cannot be run in Dos mode” - DOS 모드에서 실행할 수 없는 악성파일
Virtual Size의 데이터 크기 00006BF4와, Size of Raw Data의 데이터 크기 00007000를 비교했을 때 크게 차이가 나지 않는 것으로 보아 해당 악성코드 파일은 패킹이 되지 않았다는 점을 확인 가능
IMPORT_DIRECTORY_TABLE칸에서 전에 BinText에서 확인한 dll파일들이 PEview에서도 똑같이 관찰되는 것을 확인 가능
즉, 해당 악성파일은 Bintext에서 분석한 결과와 같이 프로세스, 레지스트리 등 윈도우의 기본적인 기능및 네트워크 관련 작업을 수행하는 파일이라는 점을 다시 한번 확인 가능
Process Explorer
- 악성파일을 실행시키자 Process Explorer에 잠깐 떴다 사라짐.
- exe 실행파일 또한 스스로 삭제되는 모습도 확인할 수 있었음.
- 스스로 삭제되자 프로그램이 제대로 설치되었는지 확인하는 호환성 관리자 탭이 뜨는 것을 확인
Process Moniter
악성파일을 실행시키고 Process Moniter를 확인하면 처음엔 이런식으로 악성파일 프로세스를 시작한다는 문구가 뜨고 스크롤을 더 내리면
전에 정적분석에서 확인했던 nskSetup.exe 텍스트가 있는 것을 볼 수 있는데,
옆에 NO SUCH FILE 문구가 있는 것으로 보아 파일이 존재하지 않아 실제로 실행되지 못한 점을 확인 가능
또한 더 세부적으로 알아보기 위해 텍스트를 필터링한 결과,
모든 컬럼이 프로세스 실패로 뜨는 것을 볼 수 있음.
스크롤이 더 내리니 nskSetup.exe 파일을 실행하려는 시도가 보이나
해당 파일을 찾지 못해 모두 실패한 모습을 다시 한번 확인할 수 있었음
Autoruns
악성샘플 실행 전과 실행 후를 Autoruns에서 Compare 기능을 사용해 비교해보니
차이점을 찾을 수 없다고 뜨는 것으로 보아 해당 악성샘플은 현재 PC에서 별다른 악성행위를 수행하지 못한다는 점을 추정 가능
SmartSniff
- SmartSniff를 켜고 악성샘플을 실행시켜보았으나, 네트워크와 관련해서는 실행 전과 후를 비교했을 때 큰 차이가 없다는 것을 확인
- 현재 상태로는 네트워크를 악용해 문제를 일으키지는 않는 악성샘플이라는 것을 추정 가능
WireShark
- 악성샘플 파일을 실행하니 분석하면서 자주 봤던 a-ton.co.kr 도메인 주소가 뜨는 것을 확인할 수 있음.
- 악성샘플이 해당 도메인 주소에 응답을 요청한 것으로 보이나,
응답이 없어 몇 번 보내다가 네트워크 정보가 사라진 것을 확인 가능
결론
기초분석
- bton02setup.exe 악성샘플은 VirusTotal에서 기초분석을 한 결과, 애드웨어, 트로이목마, 멀웨어 유형의 악성실행파일이라는 점을 알 수 있었음.
정적분석
- 패킹이 되어있지 않아 언패킹 과정 없이 바로 분석도구를 통해 분석할 수 있었고, a-ton.co.kr 도메인 주소와 연결되어 있다는 점을 확인해 이를 동적분석에서 상세하게 다뤄볼 필요성이 있었음.
동적분석
- WireShark를 통해 네트워크 트래픽을 확인해본 결과 해당 악성파일에게 명령을 내릴 수 있는 a-ton.co.kr 도메인 주소가 현재 비활성 중인 상태라 특별한 악성행위는 없었던 악성파일.
결론
- bton02setup.exe 악성샘플은 특정 도메인주소와 연결되어있는 애드웨어, 트로이목마, 멀웨어 유형의 악성실행파일로, 도메인주소의 명령을 받아 실행할 수 있는 악성코드이지만, 연결된 도메인주소와 응답을 주고받을 수 없는 상태라 현재는 악성행위를 실행할 수 없는 파일로 보임.
보완점
-
악성코드분석에는 정답이 없다
시간에 따라서 행위를 했다안했다 할 수 있고,
행위를 안하고 있다가 할 수도 있고,
A라는 행위를 하고 있다가 변형이 나와서 B라는 행위를 할 수 있음
즉, 악성코드는여러가지 시간에 따라서 변화하는 성질을
가지고 있기 때문에 악성코드 분석에는 정답이 없다 -
확신한다, 확정한다 X
추정이 된다, 보여진다 O
추정을 하면서 공통적인 부분을 발견하며 이 악성코드에는
어떤 행위를 할 확률이 높아보인다는 방식으로 분석 진행 -
분석의 마지막에는 항상 결론을 내려야하는데
결론을 내릴때는 기초분석, 정적분석, 동적분석을 하면서
나왔던 모든 내용들을 최대한 상세하게 정리하는 것이 필요
그 후에 대응방안을 세워야함.
따라서 악성코드의 유형별 특징에 대해서 잘 알고 있어야함 -
관제의 3원칙 중 하나인 전문성의 원칙에 따라
관련된 전문적인 지식, 기술들을 잘 알아야함.
