시험문제 (악성코드 행위중)
악성파일, 모든 파일에서 타임스탬프는 얼마든지 조작이 가능하다. → 신뢰할 수 없다.
타임스템프 영역은 악성코드 제작자가 분석을 방해하기 위해서, text 값을 가공할 수 있다.
- 전세계 악성코드 공용 Password
> infected
- 가상 OS 환경 내 Windows Defender 비활성화 방법
> Windows 보안 -> 바이러스 및 위협 방지 설정 -> 설정 관리 -> 실시간 보호 끄기
- 악성코드 샘플링 사이트 정보
> https://bazaar.abuse.ch/
> https://app.any.run/ (기관메일만 가입 가능)
악성코드 분석방법 (어떠한 행위가 악성인가?)
- 코드 스크립트에 백신프로그램을 체크하는 영역이 있을경우 (백신 프로그램을 체크하는 행위 자체가 악성코드의 주요특징) - 내 파일 자체가 백신에 걸리는지 안걸리는지 체크하기 위해 백신 체크 기능이 악성코드에 있다.
- 어떠한 특정 서버에 접속을 시도하면 (이 서버에 대해 평판조회를 한다) - 악성코드와 밀접한 관련이 있을 수 있다.
정적 분석 도구
Detect It Easy
- 실행 파일의 구조와 정보를 분석하는 데 사용
HashMyFiles
- 파일의 해시 값을 생성하고 관리하는 간단하고 유용한 도구입니다. 이 프로그램은 다양한 해시 알고리즘을 지원하여 파일의 무결성을 확인하고, 파일 비교 및 관리에 도움을 줍니다.
- 해시 값을 복사해서 아래와 같은 사이트를 통해 평판을 조회할 수 있다.
https://www.virustotal.com/gui/home/upload
pestudio
- Windows 실행 파일(PE 파일)을 분석
- 악성코드 분석 및 보안 연구에 유용하며, 파일의 구조와 다양한 속성을 검사할 수 있습니다.
Autoruns
- 시스템에서 자동으로 실행되는 프로그램과 서비스를 관리하고 분석하는 데 사용됩니다. 이 도구는 시작 프로그램, 서비스, 드라이버 등 다양한 항목을 확인할 수 있습니다.
Logon TAB
- 해당 악성코드가 이 영역에 등록이 되어 있는지 레지스트리 영역을 확인한다.
Services TAB
- 악성코드가 프로그램 지속성을 유지시키기 위해 service 를 등록했을 경우 확인 가능
Scheduled Tasks
- 작업 등록을 했는지 확인가능
PEView
- Windows 실행 파일(PE 파일)의 구조를 분석하고 시각화하는 도구
파일의 최초 생성 시점, 악성코드 컴파일된 시점 (시간정보) 확인 → 시간정보는 PEview 에서 아래와 같이 확인가능
동적 분석 도구
Process Explorer
- Microsoft의 Sysinternals Suite에 포함된 강력한 동적 분석 도구로, 시스템에서 실행 중인 프로세스와 그들의 활동을 모니터링하고 관리하는 데 사용
아래와 같이 explorer를 켜놓은 상태에서 악성코드 의심 프로그램을 실행시키면 분석이 진행된다.
Autoruns(ex. 악성코드) 를 분석하기 위함
Properties
악성파일이 실행된 경로, TCP/IP 해당 프로세스가 네트워크 행위가 일어나는지, 프로세스가 동작을 했을때 정보수집을 해서 외부로 보낸다고 가정하면 TCP/IP에 정보가 나옴, String 을 통해 프로그램이 가지고 있는 문자열 정보도 확인 할 수 있다. , Thread ID 도 확인 가능
"Handles"는 현재 실행 중인 프로세스가 열어둔 시스템 리소스의 참조를 나타냅니다. 핸들은 파일, 레지스트리 키, 동기화 객체 등 다양한 리소스를 관리하는 데 사용됩니다.
Handles를 통해 어떤 리소스가 열린 상태인지, 어떤 프로세스가 해당 리소스를 사용하고 있는지를 확인할 수 있습니다. 이를 통해 시스템의 자원 사용 현황을 모니터링하고 문제를 진단하는 데 유용
"DLL"은 "Dynamic Link Library"의 약자로, 윈도우 운영 체제에서 여러 프로그램이 공유할 수 있는 라이브러리 파일입니다. DLL 파일은 코드, 데이터, 리소스를 포함할 수 있으며, 프로그램이 실행될 때 필요할 때 로드되어 사용
Filemonitor
- 시스템에서 파일과 디렉토리에 대한 실시간 활동을 모니터링하는 도구입니다. 이 프로그램은 파일 생성, 수정, 삭제 등의 이벤트를 기록하여 사용자가 파일 시스템의 변화를 추적하고 분석할 수 있도록 돕습니다.
- 실시간으로 일어나는 파일 시스템에 대해서 관찰을 할 수 있다.
TCPView = = DOS모드에서 명령어 netstat 를 치면 동일한 명령을 할 수 있음
- Microsoft의 Sysinternals Suite에 포함된 도구로, 시스템에서 현재 열려 있는 TCP 및 UDP 포트의 상태를 실시간으로 모니터링하고 관리하는 프로그램입니다. 이 도구는 네트워크 연결과 관련된 정보를 쉽게 시각화하여 사용자가 네트워크 활동을 이해하고 분석할 수 있도록 돕습니다.
아래와 같이 실행된 프로그램의 정확한 경로를 파악 할 수 있음
ProcessMonitor (동적분석에서 가장 많이 사용)
- Process Monitor는 Microsoft의 Sysinternals Suite에 포함된 강력한 시스템 모니터링 도구로, 파일 시스템, 레지스트리, 프로세스 및 스레드 활동을 실시간으로 추적하고 기록하는 기능을 제공합니다. 이 도구는 시스템의 동작을 깊이 있게 분석하고 문제를 진단하는 데 유용합니다.
- 특정 프로세스만 필터를 걸 수 있다.
- 진한 아이콘은 동작중 / 흐릿한 것은 종료된 프로세스
실습
SAMPLE 1
- 평판조회를 통해 각 각의 파일을 올리고 악성코드가 있는지 확인
- install.bat 파일과 drop.hta 에서 평판조회에 악성코드가 나옴
Detect It Easy 프로그램을 통해서 plain text 파일인 것을 확인
메모장에 drop -> 코드 분석
이후 ProcessMonitor 실행 -> precess tree 로 메모장에서 본 코드가 어떻게 동작하는지 확인
"IOC 서버"는 일반적으로 "Indicator of Compromise"와 관련된 보안 분야에서 사용됩니다. IOC는 사이버 공격이나 보안 침해를 식별하는 데 사용되는 데이터 포인트를 의미합니다. IOC 서버는 이러한 지표를 수집, 저장 및 분석하는 시스템
DLL 파일을 최종적으로 받기 위한 최종적으로 거치는 LOADER 파일이었음.
SAMPLE 2
동일한 방법으로 평판조회 진행
Dropper 관련 악성코드라는 것을 확인
Dropper
드로퍼(Dropper)는 악성코드의 일종으로, 다른 악성코드를 시스템에 설치하거나 배포하는 역할을 하는 프로그램입니다. 드로퍼는 일반적으로 다음과 같은 기능을 수행합니다:
악성코드 배포: 드로퍼 자체는 비교적 작고, 다른 악성코드(예: 트로이 목마, 백도어 등)를 다운로드하거나 설치합니다.은폐: 드로퍼는 종종 보안 소프트웨어의 탐지를 피하기 위해 여러 가지 방법으로 은폐됩니다. 예를 들어, 정상적인 파일로 위장하거나 암호화된 상태로 존재할 수 있습니다.시스템 침투: 드로퍼가 실행되면, 지정된 경로에 악성코드를 설치하거나 사용자 몰래 실행할 수 있습니다.
동적분석을 위해 가상환경에서 악성코드 의심 파일 실행 후 Explorer를 통해 어떤 변화가 있는지 확인
Setup.tmp 파일이 설치중에 떠올랐다가 사라지는 것을 확인
svchost 파일이 악성코드로 판별
이론
- 악성코드 전파과정 80% 이상은 이메일 통해 전파된다.
- 워터링홀 (홈페이지를 통한 전파과정) , 홈페이지만 접근해도 홈피에서 다운로드 된 파일이 스크립트로 동작을 해서 사용자 PC 에서 돈다.
- 공급망 사슬 공격 (침투 후 공격 대상자들에게 패치 위장 파일 유포), 소프트웨어 개발 과정 오염, 코드 서명 인증서 탈취 등 - 개발서버, 공급망 서버에 침투해서 악성코드를 유포하는 행위