기초 정적 분석 실습

예제 악성코드 샘플을 통해 실습을 진행했다.

파일을 실행하지 않고 정적으로 분석을 진행한다.

 

 

 

 

먼저 악성코드의 이름과 같은 해시값을 추출해준다.

 

 

해시값을 바이러스 토탈에 검색하면 score는 51/71이다.

예제 샘플이라고 나온다.

 

 

바이러스 토탈에서는 더욱 자세한 해시값들과 패커까지 알려준다.

 

 

컴파일된 날짜를 확인한다.

PEVIEW를 통해 확인할 수 있다.

 

 

exe파일과 dll파일이 거의 동일한 시간대에 컴파일된 것을 확인할 수 있다.

 

 

패킹이 되어있는지 확인하기 위해 offset들을 확인해주었다.

 

 

peid로도 확인해본 결과 패킹은 되어있지 않았다.

 

dll의 IAT를 확인해주었다.

Sleep을 통해 예약 스케줄링이 있다는 것을 예측할 수 있다.

Mutex기능으로 중복 실행을 방지한다.

그리고 KERNEL32.dll를 import 한다.

그 아래 잘려있지만 WS2_32.dll이 존재한다.

소켓을 통해 데이터를 주고받는다고 의심할 수 있다.

 

 

 

exe의 IAT를 확인했다.

File이름 찾기 및 만드는 루틴이 존재한다.

 

 

 

이제 exe의 string을 확인해준다.

의심 가는 signature은 kerne132.dll이다. 이름을 헷갈리게 만들어 놓았다.

해당 dll을 백도어로 심어놓을 수 있다고 생각된다.

 

 

 

dll의 string을 보면 ip가 존재한다.

해당 로컬 ip가 signature가 될 수 있다.

 

기초 정적 분석 결과 해당 샘플은 정탐이라고 볼 수 있다.