윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 01-04]

1. 파일이 패킹되거나 난독화된 징후가 있는지 알아보기

   PEID 로 열어서 확인 해 본다. 

→ 패킹은 되어있지않고 C++ 로 컴파일 되어있다

 

2. 이 프로그램은 언제 컴파일 되었는가

→ PEview 로 열어서 확인한 결과 컴파일 시간이 2019년 8월 30일이라는 것을 알 수 있는데 이 문제가 만들어진 연도가 로 미루어 보아 이는 조작된 시간임을 추측해 볼 수 있다. 

 

3. 임포트를 통해 악성코드 행위를 감지할 수 있는가?

→ AdjustTokenPrivileges, LookupPrivilegeValueA, OpenprocessToken 의 함수로 보아 보호된 프로세스접근에 대한 토큰의 권한을 상승시켜 Injection, Hooking 같은 공격을 시도할 것으로 보인다.

 

→ CreateFile, WriteFile, MoveFile 등을 사용하는 것으로 보아 파일을 생성하고, 쓰고 옮겨놓는 것으로 알 수 있다.

→ FindResource, LoadResource 등의 함수를 쓰는 것으로 보아 파일 내의 Resource를 사용하는 것으로 보여진다.

 

4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?

→ \system32\wupdmgr.exe 가 있는 것으로 보아 다음 파일의 경로를 받아올 것임을 알 수 있고, 다음의 url은 추가 악성코드를 저장하고 다운로드를 준비하는 것으로 예상된다.

 

5. 이 파일은 리소스 색션에 하나의 리소스가 있다. Resource Hacker 를 이용해 리소스를 점검하고 리소스를 추출해 보자. 리소스로부터 무엇을 알 수 있는가?

Resource Hacker 가 아닌 Hxd 로 파일을 열어서 MZ(파일 시그니처) 로 시작되는 곳부터 마지막까지 복사하여 test 라는 이름으로 따로 저장해 주었다.

→ URLMOD.DLL의 URLDownloadToFile 함수로 보아 찾은 URL 에서 파일을 다운받음을 알 수 있다.

→ GetTempPath, GetwindowsDirectory 함수로 보아 특정 임시파일이나 디렉토리의 경로를 받아올 것임을 알 수 있다.

 

6. 결론

다음의 파일은 wupdmgr.exe 의 경로를 받아와 실행하고, 추가 리소스는 url에서 특정 파일을 다운받아 그 파일을 시행함을 알 수 있다.