Lab01-02.exe 파일을 분석하라.
질문
1. https://virustotal.com/에 Lab01-02.exe 파일을 업로드하여, 기존 안티바이러스에 정의된 것과 일치하는가?
A : 67개의 엔진중에 43개 엔진이 파일을 발견하였다
대표적으로 안랩-V3에서 Trojan/win32.StartPage.C26214로 탐지되었다.
2. 이 파일이 패킹되거나 난독화 된 징후가 있는가? 그렇다면 무엇으로 판단하였는가?
A : UPX로 패킹되어 있고 , PEID를 이용하여 판단하였다
UPX 도구를 이용하여 Unpacking을 하였다.
3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 무엇으로 판단하였는가?
A : ADVAPI32.DLL 및 WINNET.DLL이 임포트 되어 있었다.
ADVAPI32.DLL 파일은 레지스트리 같은 추가 핵심 윈도 컴포넌트 접근 기능을 가지고 있는 함수이다.
ADVAPI32.DLL의 포함되어 있는 함수
CreateServiceA : 새로운 서비스를 생성 (성공시 핸들 값이 리턴되며, 실패 시 NULL 값이 리턴된다.
StartServiceCtrlDispatcher : 처음 서비스 프로그램을 실행 할 때 실행 환경을 등록하는 함수
OpenSCManager : 윈도우 서비스 제어 함수, 이 함수는 지정한 컴퓨터의 SCM(Service Control Manager)과 연결하며 해당 컴퓨터의 서비스 DB에 연결한다.
WINNET.DLL의 포함되어 있는 함수
InternetOpenA : 인터넷 관련 DLL들을 초기화한다, 이는 HTTP, FTP 모두 공통으로 사용
InternetOpenUrlA : URL에 대한 접근을 하는데이 사용되는 함수 (해당 Url이 존재하지 않는다면 0을 리턴, 있다면 다른 값을 출력한다.
요약 : 새로운 서비를 생성하고 DB에 연결되면 서비스를 실행 환경에 등록하는 행위를 하는 악성코드 인 것 같다고 판단 그리고 웹서버를 띄우는 행위?
4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
A : Url 주소인 http://www.malwareanalysisbook.com 이 확인 되었스며, 브라우저는 Internet Explorer 8.0으로 웹 브라우저가 사용되었다는 것을 알 수 있었다.
'악성코드 분석 > 정적 분석' 카테고리의 다른 글
| 실전 악성코드와 멀웨어 분석 - 실습 1-4 (0) | 2020.01.06 |
|---|---|
| 실전 악성코드와 멀웨어 분석 - 실습 1-3 (0) | 2020.01.03 |
| 실전 악성코드와 멀웨어 분석 - 실습 1-1 (0) | 2019.12.27 |