Malicious Code Analysis DAY_011 LAB03- 03.exe, 키로거, KeyLogger ,동적파일 분석 , Process Explorer, 프로세스 익스플로러, 악성코드 분석실습, 정적 파일 분석도구 automatic analysis Malicious Code Analysis

배울내용: 

LAB03- 03.exe

키로거

KeyLogger 

MultiByteToWideChar

LCMapStringA

LCMapStringW

GetStringTypeA

GetStringTypeW

Process Explorer

프로세스 익스플로러

악성코드 분석실습

정적 파일 분석도구

동적 파일 분석도구    

automatic analysis 

Malicious Code Analysis

 

 

 

[정적 분석]
> 분석 파일 : Lab03-01.exe

 

01 자동화분석 

 

 

  72/61 악성코드 발견 , 알약-> Dropper

 

 

 

 

 

 

02 패킹여부 

 

03 PE 구조 확인 /컴파일 날짜

 

 

 

 

패킹 X , C++ 5-6.0 

 

2011/04/08 17:54:23 UTC

 

 

 

 

04 임포트함수 : 
05 호스트 기반 증거: 
06 네트워크 기반 증거: 

 

 

이제는 기존에 알고있던 함수들이라 쉽게 알수있다

그런데  String.exe 로 Lab03-03.exe 파일을 열어보면 이상한 부분을 확인할수있다

 

 

 

 

유독 AAAAA 라는듯 뭔가 누군가 일부로 저런식으로 입력한 값인것같아 보인다 

 

 

 

그리고 함수에도 뭔가 문자열에 관련된 함수가 있어보인다

 

MultiByteToWideChar

LCMapStringA

LCMapStringW

GetStringTypeA

GetStringTypeW

 

그리고 이걸 검색해보면 Windows API의 일부로, 문자열 처리와 관련된 작업을 수행하는 함수들이라는걸 알수있다 .

 

 

 

 

그리고 내린 결론은 아래와 같다 

 

07 이 파일의 목적은? :  키로거(Keylogger) 이다 

 

키로거(keylogger)는 컴퓨터나 모바일 기기에서 사용자가 누른 키를 기록하는 소프트웨어나 하드웨어로 사용자의 키보드 입력을 모니터링하고 기록하여 다음과 같은 목적으로 사용될 수 있습니다:

1. 감시 및 감청: 부모나 관리자가 자녀나 직원의 활동을 감시하기 위해 사용할 수 있다.
2. 범죄 행위: 해커들이 비밀 정보를 도용하거나 인증 정보를 탈취하는 등의 범죄 행위에 사용할 수 있다.

 

 

 

 

 

 

 

 

 

[동적 분석] 

 

01 Process Explorer 로 이 악성코드를 모니터링 했을때 알수있는건 무엇인가?

도구 : Process Explorer

 

 

먼저 동적이면 실행을 해봐야하기에 Process Explorer 를 주시하며  cmd 창으로 Lab03-03.exe 를 실행해준다 

 

 

 

 

순간적으로 Lab03-03.exe 가 뜨는걸 잠깐 볼수있는데 바로 사라진다 

 

 

그리고는 자식프로세서인 svchosts.exe 를 남겨두고 부모프로세서는 사라지는걸 볼수있다 

 

내용 : Lab03-03.exe 악성코드를 실행시키면 svchost.exe 자식 프로세스를 생성후 자신은 사라짐

 

 

 

02 실시간 메모리 변조를 확인할 수 있는가? 
도구 : Process Explorer

 

그럼 svchost.exe 를 클릭하면 여러가지의 텝창을 볼수있는데 String으로 가면 image 와 Memory 옵션이 있다 이걸

클릭해보자 그러면 아래와 같은 결과를 볼수있다 

 

내용 : Image 의 string 와 Memory의 String정보가 다른걸 볼수있다

 

 

03 악성코드임을 확인 할수있는 호스트 기반 증거는 무엇인가?? 

 

내용 : 악성코드를 실행한 폴더에 로그 파일이 생성됨
(practicalmalwareanalysis.log)

그러면이제 결과는 높은확률로 어떤것인지 예측이 된다

 

 

04 이 파일의 목적은?

 

svchost.exe 프로세스를 가장한 키로거로 추측 

 

 

 

 

=============================================================== 

분석 정리  : 

>> 분석 파일 
>> Lab03-03.exe

<정적분석> 

01 자동화분석 :   72/61 악성코드 발견 , 알약-> Dropper
02 패킹여부 : X , C++ 6.0 
03 PE 구조 확인 /컴파일 날자 :    2011/04/08 17:54:23 UTC
04 임포트함수 :  05 호스트 기반 증거:  06 네트워크 기반 증거: 

MultiByteToWideChar

LCMapStringA

LCMapStringW

GetStringTypeA

GetStringTypeW

07 이 파일의 목적은? : 키로거 

 

<동적분석>

01 Process Explorer 로 이 악성코드를 모니터링 했을때 알수있는건 무엇인가?
도구 : Process Explorer
내용 : Lab03-03.exe 악성코드를 실행시키면 svchost.exe 자식 프로세스를 생성후 자신은 사라짐
02 실시간 메모리 변조를 확인할 수 있는가? 
도구 : Process Explorer
내용 : Image 의 string 와 Memory의 String정보가 다른걸 볼수있음 
03 악성코드임을 확인 할수있는 호스트 기밙 mdrjsms?
도구 :
내용 : 악성코드를 실행한 폴더에 로그 파일이 생성됨
(practicalmalwareanalysis.log)
04 이 파일의 목적은?
svchost.exe 프로세스를 가장한 키로거로 추측 

 

=============================================================== 

 

이상 정적및 동적분석에도 조금씩 감이 잡히기 시작하는것 같다