1. 분석 환경
1.1. 분석 환경
l Windows 10 l Windows XP (vmware) |
1.2. 분석 도구
정적 분석 | l Virustotal l PEID l VMunpacker l OllDbg l ImportREC l Dependency Walker l BinText |
동적 분석 | l sysanalyzer |
1.3. 분석 샘플
Practical Malware Analysis Labs - Lab01-03.exe |
1.4. 질문
- 파일을 http://www.VirusTotal.com/에 업로드하고 보고서를 확인하십시오. 기존의 안티바이러스 시그니처와 매치되는 파일이 있나요?
- 이 파일이 패킹되었거나 난독화된 흔적이 있는지 확인하십시오. 그렇다면, 어떤 특징이 있는지 알려주세요. 파일이 패킹되었다면 가능하다면 언패킹 하십시오.
- 어떤 import가 이 악성코드의 기능을 나타내는지 확인할 수 있습니까? 그렇다면, 어떤 import 인가요?
- 감염된 시스템에서 찾을 수 있는 다른 호스트 또는 네트워크 기반의 특징은 무엇인가요?
2. 분석 과정
2.1. 파일을 http://www.VirusTotal.com/에 업로드하고 보고서를 확인하십시오. 기존의 안티바이러스 시그니처와 매치되는 파일이 있나요?
Virustotal에 lab01-03.exe를 업로드한 결과로 72개 엔진에서 65개 엔진이 악성코드라 진단했다.
2.2. 이 파일이 패킹 되었거나 난독화된 흔적이 있는지 확인하십시오. 그렇다면, 어떤 특징 이 있는지 알려주세요. 파일이 패킹 되었다면 가능하다면 언패킹 하십시오.
PEID 또는 exeinfope 프로그램을 이용하여 패킹여부를 확인할 수 있다.
Lab01-03.exe는 FSG로 패킹되어있음을 확인했다.
2.2.1. ① VMunpacker를 이용한 언패킹
VMunpacker은 다양한 패커들을 지원하는 자동 언패킹 툴이다. 이것을 이용하여 Lab01-03.exe를 언패킹 해본다.
▼ 언패킹한 파일이 원본파일과 같은 폴더에 생성되었다.
2.2.2. ② 수동 언패킹 하기
OllyDbg와 ImportREC를 사용하여 OEP(Original Entry Point)를 찾아 추출한다.
Options – Debugging Options – SFX – Trace Real Entry Bytewise 를 체크한 후 확인을 누르고
◀◀버튼을 누르면 original entry point로 이동한다.
진짜 entry point인 401090을 기억한 뒤,Ollydump 플러그인으로 dump파일을 추출한다..
OllyDbg를 종료하지말고, ImportREC를 실행한다.
ImportREC는 지금 실행 중인 프로세스를 감지해 IAT를 재구성하는 용도로 사용된다.
최종적으로 Lab01-03_dump_. exe가 생성됨을 확인하였다.
2.3. 어떤 import가 이 악성코드의 기능을 나타내는지 확인할 수 있습니까? 그렇다면, 어떤 import 인가요?
언패킹 한 파일 Lab01-03_dump_. exe를 dependency walker로 확인한다.
MSVCRT.DLL, OLEAUT32.DLL, OLE32.DLL이 import 되어있다. 이 중 주목할 것은 OLEAUT32.DLL, OLE32.DLL이다.
SysAllocString, SysFreeString : com 객체에서 문자열을 복사할 때 사용한다.
CoCreateinstance : 인스턴스를 생성할 때 사용한다. 여기서는 com객체를 생성한다,
OleInitialize, OleUnintialize : com객체를 사용할 때 라이브러리를 초기화하고 마무리하는데에 사용한다. 보통 프로그램의 시작과 끝에 사용된다.
2.4. 이 악성코드를 감염된 기기에서 찾기 위해 사용할 수 있는 호스트 또는 네트워크 기반 표시가 무엇인가요?
http://www.malwareanalysisbool.com/ad.html url로 보아 이곳으로 접속함을 추측할 수 있다.
3. 실행해보기
Sysanalzer로 Lab01-03.exe을 실행시킨다.
Internet explorer가 실행되면서 Bintext에서 보았던 http://www.malwareanalysisbool.com/ad.html 으로 접속을 한다. 그러나 해당 사이트가 더 이상 운영되지 않는 것 인지 http404 응답이 뜨는 것을 확인할 수 있다.
실행 중인 프로세스는 internet explorer 하나이다.
Capture.log에서 15.197.142.173 (http://www.malwareanalysisbool.com/ad.html) 와 TCP 세션을 연결 및 종료하는 것을 확인했다.
웹 페이지의 문구와 같게 http get 요청을 했으나 http404 응답을 받고 그대로 연결이 종료되었다.
4. 결론
http://www.malwareanalysisbool.com/ad.html 웹페이지가 열리면서 악성행위를 하는 것으로 추측한다. 더 이상 해당사이트가 운영되지 않아 자세한 내용을 확인할 수 없었다.
Lab01-03.exe는 뒤에서 다시 자세히 분석을 한다.