실전 악성코드와 멀웨어 분석 실습 - 03-03

질문 

 

1. Process Explorer로 이 악성코드를 모니터링했을 때 무엇을 알아냈는가?

Lab03-03.exe를 실행했을 경우 ProcEx로 확인해 보았을 때 svchost.exe 프로세스로 교체되는 것을 확인할 수 있었으며, scvhost.exe. 가 고아 프로그램으로 동작하고 있다.  전형적으로 svchost.exe는 svchost.exe로 안에서 자식 프로세스로 작동되어야 하는데 고아 프로그램으로 작동되고 것을 확인할 수 있었다. 

 

2. 실시간 메모리 변조를 확인 할 수 있는가?

위의 사진은 디스크 이미지 이며 아래 사진은 메모리 이미지 사진이다. 

svchost.exe 디스크 이미지와 메모리 이미지는 동일하지 않으며, 메모리 이미지의 Practicalmalwareanalysis.log와  [Enter] 같은 문자열이 있지만 디스크 이미지에는 존재하지 않는다. 

 

3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?

악성코드는 Practicalmalwareanalysis.log라는 파일을 생성한다.

 

여기서 알 수 있는 것이 [Enter]와 log파일이 생성되는 것으로 보아 keylogger란 것을 짐작 할 수 있었다. 

 

keylogger란?

소프트웨어 프로그램이나 하드웨어 장치를 통해서 컴퓨터의 모든 키 스트로크를 캡처하도록 설계된 프로그램이다. 

이러한 키보드 활동 기록을 기록하는 것을 키로깅이라고 합니다. 

 

키로거인 것이 짐작을 가졌기 때문에 메모장을 켜서 아무내용이 쳐봐서 ProcMon에서 나타나는지 한번 보도록 하겠습니다. 

 

Create file이나 Writefile을 통해서 컴퓨터의 키보드 활동을 Practicalmalwareanalysis.log 파일에 기록하는 것을 알 수 있었습니다. 

 

 

4. 이 프로그램의 목적은 무엇인가?

이 프로그램은 키로거를 실행하기 위해 프로세스를 svchost.exe로 교체한다는 것을 알 수 있었습니다.

 

 

요약 : 이 악성코드는 svchost.exe라는 프로세스로 교체가 되어 실행되고 고아 프로그램으로 작동한다는 특징이 있었습니다. 그리고 메모리 변조가 있었으며 키로거에 기능을 한다는 것 까지 알아내었습니다.