기초동적분석

기초 동적 분석 개요
- 기초 동적 분석이란
  - 프로그램을 직접 실행하며 분석
  - 악성코드 분석에서 가장 프로그램의 영향을 쉽게 파악
  - 프로그램의 기능을 파악하기 위해 악성코드 실행 전후 상태를 조사 및 분석

- 분석 방법
  - 악성코드 실습 시 발생하는 호스트/네트워크 환경 구성
  - 파일, 프로그램 실행, 레지스트리, 서비스 등 관련 항목 변경 사항 확인
  - 실행 시 발생하는 네트워크 트래픽 분석


기초 동적 분석 도구
- 프로세스 모니터(procmon.exe)
  - 특정 레지스트리, 파일 시스템, 네트워크, 프로세스, 스레드 행위를 모니터링하는 고급 도구
  - ProcMon의 한계
    - 특정 GUI와 장치 I/O 제어를 통한 루트킷 탐지 불가
    - 네트워크 행위에 대해 일관성 있는 탐지 불가

- 프로세스 익스플로러(procexp.exe) - 좋은 도구
  - 프로세스(EPROCESS 구조체)에 관련된 많은 내용을 확인 가능

- RegShot
  - 두 레지스트리의 스냅샷을 찍고 비교하는 툴
  - 악성코드는 자동실행을 위해 레지스트리를 자주 건드림

- INetSim
  - 가짜 서비스를 제공하기에 최고의 도구
  - 일반적인 로킹 및 중앙 집중식 제어 기능을 사용하여 다양한 인터넷 서비스를 시뮬레이션할 수 있는 
  편안한 단일 제품군
  - 칼리리눅스에서 별도의 설치 없이 INetSim 실행 가능
  - 알려지지 않은 멀웨어 샘플의 네트워크 동작에 대한 런타인 분석을 수행하기 위한 도구
  - 실험실 환경에서 멀웨어가 일반적으로 사용하는 인터넷 서비스를 시뮬레이트
  - HTTP, HTTPS, FTP, IRC, DNS, SMTP 등 서비스를 실행

- WireShark
  - 세계에서 가장 널리 쓰이는 네트워크 분석 프로그램
  - 네트워크상에서 캡처한 데이터에 대한 네트워크/상위 레이어 프로토콜의 정보를 제공
  - 패킷을 캡처하기 위해 pcap 네트워크 라이브러리를 사용

 

4개의 프로그램을 준비하고 간단한 악성코드를 실험해보기로 했다.

 

먼저 바이러스 이름을 필터링을 집어 넣었다.

Lab03-01.exe의 기록이 남는다.

 

레지스트리 비교를 위해 스냇샵을 찍어준다.

 

 

프로그램을 실행하면

 

 

프로세스 모니터에 이벤트가 남는다.

create file로 파일을 만들려고 시도한다.

 

wireshark에도 이벤트가 잡히지만 다른 특이사항은 없었다.

 

 

스냇샵을 통해 레지스트리를 비교하려 했지만 이번에도 특이사항은 없다.

userassist의 파일 실행흔적 밖에 보이지 않는다.

 

 

프로세스 익스플로어를 보면 파일을 실행하자마자 꺼진다.

 

컴퓨터에 영향이 없었다.