Malicious Code Analysis DAY_005 LAB01-02.exe, 악성코드분석실습, virustotal, upx, unpacking, exeinfoPE, PEview, strings, 정적 파일 분석도구, automatic analysis, Malicious Code Analysis

배울내용:

LAB01-02.exe

악성코드분석실습

virustotal

upx

unpacking

exeinfoPE

PEview

strings

정적 파일 분석도구  

automatic analysis 

Malicious Code Analysis

 

 

 

 

우리가 앞으로 아래의 파일에서 모든 파일을 분석할 것이다. 

Window 10 또는 7 에서 다운받아주자 (파일 옮겨줄때 방화벽 및 보안 다꺼야함!) 

 

 

https://github.com/rikonaka/PracticalMalwareAnalysis-Labs-Sample

GitHub - rikonaka/PracticalMalwareAnalysis-Labs-Sample: All binaries file of the PracticalMalwareAnalysis-Labs copied from inter

 

 

그리고 

앞으로 Malicious Code를 분석할때 다양한 도구 쓰일것이다 

 

 

 

 

 

UPX(Universal Packer for eXecutables)

실행 파일을 압축하고 암호화하는 도구로 이는 실행 파일의 크기를 줄이는 데 도움이 되며, 이는 배포 및 전송을 용이하게 합니다. UPX로 압축된 실행 파일을 해제하는 것은 UPX Unpacker라고 한다.  

 

 

 

 

 

 

우리는 Lab01-02 파일을 분석해 볼 것이다.

먼저, upx를 구글에 검색한뒤에 깔아주고 Lab01-02 파일을 upx가 있는파일에 위치시켜주자

 

 

 

 

cmd 프롬프트창을 열어서 확인해주고

보안 관련 바이러시 및 위험방치 및 방화벽을 꺼준다 

!!(잘보면 Lab01-02.exe 가 크기가 0 이 되어있는데 이는 파일을 옮길때 이미 악성코드라고 판단하고 윈도우에서 처리했기때문에 제대로 안옮겨진것임. 다시 옮길때 방화벽 , 백신제거 필요) 

 

 

 

 

 

 

 

 

Window10 부터는 그렇게 설정하지않으면 악성코드 분석 파일들이 자동으로 삭제 되기떄문에 

실시간, 백신은 꼭 꺼놔야한다 

 

 

 

 

 

 

 

분석시작

 

[ Packing / Unpacking ] 

00. 패킹 도구 
# upx 

 

 

[정적 분석]
> 분석 파일 : Lab01-02.exe

 

01 . 자동화 분석

지난번에 시작했던 자동분석을 먼저해준다 "virustotal" 을 검색하면 바로 들어가진다 

Lab01-02.exe 파일을 올려주기만 하면 된다 

 

 

 

 

 

 

 

그러면 위와같이 다양한 백신 프로그램에서 악성코드라고 판단하고

 

 

 

73개의 프로그램중 59개가 악성코드로 판단한걸 볼수있다 

> 분석도구 : 바이러스 토탈 사이트 이용 /활용
> 분석 내용 : 악성코드임 을 확인 (59/70) 

 

 

 

 

 

 

02. 컴파일러 / 패킹 여부

> 분석도구 :Exeinfo PE 

 

 

> 분석내용 : UPX 패커로 패킹되있음
EP Section에 패킹된거면 UPX

 

 

그래서 아까 다운받았던 upx 로 언패킹 시켜준다 

 

>언패킹
C:\upx -d Lab01-02.exe 
>패킹
C:\upx Lab01-02.exe 

 

 

 

그러면 파일 사이즈가 늘어난게 보이고 다시 Exeinfo 로 확인하면

 

 

 

 

Visual C++ 로 만들어진걸 알수있다 

 

 

03. PE 구조 

> 분석도구 : PEview

 

 

 

원래라면 패킹이 되어있으면 위에처럼되있으나 (packing 되어있으면 정보가 다 보이지않아서 분석이 거이 불가능함) 

언패킹을 하면 아래처럼보이게 된다 

 

 

 

 

 

 

 

> 분석내용 : 비정상적인 PE 구조 확인 

 

 

 

 

04. 문자열 분석 

> 분석 도구 :  Ollydbg, strings

 

OllyDBG로 오른쪽마우스 버튼에 Search for >  All Reference Text Strings 부분에 가면 

PYSH 된 것들에게서 힌트를 얻을수있다 

 

 

> 분석 내용 :  
-Malservice , HGL345 , Internet Explorer 8.0 ... 있음 
-http://www.malwareanalysisbook.com

String.exe 이란프로그램도 있다 cmd 에서 실행 되는데 안보이는 문자열 까지 모두다 가져온다

 

 

이렇게 실행하면 모든 문자열이 아래처럼 나오는데 

 

 

 

아까 나왔던 HGL345 나 malwareanalysisbook 그외에 모든 String 포함 함수까지 다 나온걸 볼수있다

물론 OllyDBG로도 다 볼수있지만 String으로 가끔 OllyDBG 에서 안보이는것들이 보일수있다

 

 

 

 

종합 정리 !
=====================================
[정적 분석]
> 분석 파일 : Lab01-02.exe

01 . 자동화 분석
> 분석도구 : 바이러스 토탈 사이트 이용 /활용
> 분석 내용 : 악성코드임 을 확인 (56/70) 

02. 컴파일러 / 패킹 여부
> 분석도구 : exeinfoPE (PEiD 로도 확인가능) 
> 분석내용 : UPX 패커로 패킹되있음

03. PE 구조 
> 분석도구 : PEview
> 분석내용 : 비정상적인 PE 구조 확인 

04. 문자열 분석
> 분석 도구 :  Ollydbg, strings
> 분석 내용 :  
-Malservice , HGL345 , Internet Explorer 8.0 ... 있음 
-http://www.malware...

=====================================

이렇게 Lab01-02.exe 를 분석했다. 이를 분석을 한 자료를 토대로 어떤 공격인지 예측 예상 또는 분석하고 

판단한다