악성코드 분석 교육 자료

 

악성코드 분석 교육 자료 설명

피카츄배구.exe 파일로 대학생 대상으로 악성코드 분석 교육을 준비하면서 자료를 만들었습니다.

정상적인 실행파일인 '피카츄배구.exe'에 myhack.dll 파일을 인젝션하여 샘플 파일을 만들었고 이 샘플을 통해 문서를 작성하였습니다. myhack3.zip

※ myhack.dll 파일의 출처는 reversecore.com 입니다. (dll 파일 기능은 구글 페이지에 접속하여 index.html 파일을 pc에 저장 합니다)

 

 

피카츄배구.exe 동작 순서

 

분석 사전 준비 단계

1. 파일 정보 확인

파일 속성 확인을 통해 언어, 원본 파일 이름 등을 확인한다.

 

2. virustotal 결과 확인

virustotal 백신 점검 결과를 통해 악성코드 여부와 악성코드 종류를 파악한다.

 

3. 개발언어 및 패킹여부 확인

PEID로 개발언어 및 패킹여부를 확인하고 코드분석을 원활히 하기위해 언패킹 툴을 이용하여 언패킹한다.

※ 실행을 통한 악성코드를 분석할 경우는 3번 과정은 생략한다.

 

※ 패킹 전과 후를 PE VIEW로 비교해 보자

 

분석 단계

1. 동적 분석

악성 파일에 대해 툴을 이용하여 생성 파일, 실행 프로세스, 레지스트리 변화, 네트워크 트래픽을 모니터링 한다.

 

2. 코드 분석

PE VIEW 툴을 이용하여 IAT에서 로드시키는 DLL과 사용되는 API를 통해 기능을 추측한다.

 

디버거를 통해 코드 분석을 진행한다.

 

패턴 개발 단계

구글 페이지를 악성URL이라고 가정하고 Snort를 이용하여 패턴을 만들어 보았다.

 

[Snort 패턴 생성 및 테스트 화면]

 

[생성 패턴 탐지 화면]