1. 악성코드의 임포트 함수의 문자열은 무엇인가?
→ 분석결과 KERNER32.DLL의 ExitProcess만 검출되었는데 이렇게 적게 나온 이유는 패킹되어있을 확률이 높다.
→ PEID 로 확인결과, PEncrypt 3.1 Final -> junkcode 로 패킹되어있음을 확인할 수 있다.
→ Unpacking을 진행하려고 하였으나 문서 부족으로 일단 분석을 진행하기로 하였다.
2. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?
→ www.practicalmalwareanalysis.com 의 주소를 확인해 줄 수 있다.
→ 실행 될 것으로 추정되는 exe 파일도 발견할 수 있다.
→ 특정 계정에 대해 윈도우 시작 프로그램을 영구적으로 등록하는 레지스트리인
SOFTWARE\Microsoft\Windows\CurrentVersion\Run 도 발견할 수 있다.
더 자세한 분석을 위해 동적 분석을 해주었다.
→Process Explorer로 확인해 보니 string에서 확인했던 vmx32to64가 실행되고 있었고, 뮤텍스를 만드는 것을 확인할 수 있었으나, 그 이상은 조사가 더 필요해 보인다
→ Process Monitor 에 필터를 걸고 결과를 확인 해 준다.
3. 악성코드를 인식할 수 있는 유용한 네트워크 기반의 signature 가 존재하는가? 있다면 무엇인가?
→ Wireshark를 통해 확인한 결과, 다음의 주소로 DNS 통신을 하고 있는 것을 다시 확인할 수 있다.
4. 결론
이 파일은 실행과 동시에 CreateFile과 WriteFile함수를 통해서 vmx32to64 파일을 생성한다. 그리고
www.practicemalwareanaysis.com 과 통신을 계속 한다.
'Reversing > 윈도우 악성코드' 카테고리의 다른 글
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -2 (0) | 2021.02.02 |
---|---|
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 05-01] -1 (0) | 2021.01.28 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-04] (0) | 2021.01.26 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-03] (0) | 2021.01.16 |
윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 01-04] (0) | 2021.01.04 |