실전 악성코드와 멀웨어 분석 - 실습 1-3

 

Lab01-03.exe 파일을 분석하라.

 

질문 

1. https://www.virustotal.com/에 에 Lab01-03.exe 파일을 업로드하여, 기존 안티바이러스에 정의된 것과 일치하는가?

A : 58개 엔진이 발견하였다. 

 

2. 이 파일이 패킹되거나 난독화 된 징후가 있는가? 그렇다면 무엇으로 판단하였는가?

A : PEID 도구로 판단하였으며, FSG1.0 -> dulek/xt로 패킹된 흔적을 찾을 수 있었다. 

FSG로 패킹된 파일을 자동으로 언패킹해주는 도구를 찾을 수 없어서 ollydbg를 사용하여 main 함수를 찾아서 dump를 하는 방식으로 하였다. 

*FSG Packing특징 : 세번의세 번의 JMP구문을 반복한다는 특징이 있다. 위의 그림과 같이 JNZ, JE, JNZ 세 번의 점프 문 이후로 JE구문에서 원본 코드로 이동하는 JMP문이 있다는 것을 알 수 있었다. 00401090으로 이동하는 방법은 JE Lab01-03.00401090 코드를 무조건 점프 문인 JMP문으로 수정하여 갈 수 있으며, Ctrl+G를 이용하여 주소를 입력하여 이동하는 방법이 있다. 

 위의 그림에서 빨간 네모칸 부분이 dump할 주소 맞는지 확인을 하고, 좌측 하단 쪽에 Rebuild Import는 체크를 해제에 준다. 

 

Lab01-03.exe 언패킹한 결과

 

 

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 무엇으로 판단하였는가?

A : Dependency walker 도구를 이용하여 판단하였으며 OLE32.DLL 파일이 임포트 되어있는 것을 알 수 있었다. 

 

OLE32.DLL의 함수 

CoCreateInstance, OleInitialize, OleUninitialize 총 3개의 함수를 찾을 수 있었으며, 정확히 어떤 기능을 하는지는 파악하지 못하였다.  

4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가? 

A : Url 주소인 http://malwareanalysisbook.com/ad.html 주소를 확인 할 수 있었으며, OLE32.DLL 파일이 임포트 된 것을 알 수 있었다.