출처
Anti VM
악성코드 분석가는 대부분 가상머신에서 악성코드 분석을 통해 C&C 서버의 IP, 악성 행위 형태, 추가 파일 다운 여부 등을 파악하고 신속하게 대응책을 마련해야하는데
대부분의 악성코드 들은 분석가의 분석을 어렵게 하기 위해 실행파일 압축(Packing), Anti VM 등의 기술을 가지고 있다.
그 중에 Anti VM 기술에 알아보자
Anti VM는 악성코드가 레지스트리, 프로세스, 디스크 디바이스 등에서 VMWARE, VBOX, VIRTUAL 문자열이 검색하여 해당 문자열이 검색되면 가상머신으로 인식하여 악성코드를 실행하지 않는다.
악성코드에서 리버싱을 통해 우회가 가능하지만 악성코드마다 리버싱을 진행야하 하기에 Anti VM 환경을 구축하는게 더 효율적이다. 아래 방법은 Anti VM 환경을 우회하는 방법을 찾아보았다.
Anti Vmware
1. vmx 파일에 아래 내용을 추가
monitor_control.disable_directexec = "true"
monitor_control.disable_chksimd = "true"
monitor_control.disable_ntreloc = "true"
monitor_control.disable_selfmod = "true"
monitor_control.disable_reloc = "true"
monitor_control.disable_btinout = "true"
monitor_control.disable_btmemspace = "true"
monitor_control.disable_btpriv = "true"
monitor_control.disable_btseg = "true"
monitor_control.restrict_backdoor = "true"
isolation.tools.getPtrLocation.disable = "true"
isolation.tools.setPtrLocation.disable = "true"
isolation.tools.setVersion.disable = "true"
isolation.tools.getVersion.disable = "true"
2. Vmware tools 삭제
Vmware에 설치된 windwos 디렉토리에 남아있는 vmware 흔적을 지운다.
3. vmware 이름이 들어간 하드웨어 디바이스 변경
레지스트리에서 vmware 검색하여 vmware 문자열 변경 또는 삭제
※ 주의사항 Windwos 7에서는 드라이버 디바이스가 로드 상태에서 레지스트리 변경이 불가능하지만 Windwos
XP에서는 레지스트리 사용권한을 부여하여 변경이 가능하다.
XenServer
VmWare, Vbox를 사용하지 않고 가상머신을 구축하면 Anti VM을 우회할 수 있다.
구축방법
1. VmWare에 XenServer 6.2 iso를 설치한다.
※ 주의사항 램 2G 이상, IDE 드라이브를 선택하여 하드웨어를 구성, CPU VT 활성화
2. VmWare 이미지를 Windows.iso로 변경한다.
3. XenCenter를 PC에 설치하는데 버전은 상관없다.
4. XenCenter를 통해 XenServer에 접속하여 NEW vm으로 Windwos 하드웨어를 설정하고 이미지 설치를 진행한다.
5. Windwos 설치가 완료되면 콘솔에서 업데이트를 진행하고 XenServer와 XenCenter에 스냅샵을 저장한다.
'Malware > Analysis' 카테고리의 다른 글
| zinkhole (0) | 2018.11.29 |
|---|---|
| cuckoo를 활용한 악성 의심파일 분석 (0) | 2017.02.28 |
| cuckoo 설치 (0) | 2017.02.15 |
| 악성코드 분석 교육 자료 (0) | 2017.01.25 |
