실전 악성코드와 멀웨어 분석 실습 1-3

 

 

 

1. www.VirusTotal.com에 에 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?

 

 

68개의 엔진에서 57개의 엔진이 탐지하였다.

 

 

 

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있고 가능하다면 언패킹해보자.

 

 

FSG로 패킹된 것을 확인하였다.

 

 

PEView에서 임포트 테이블을 확인할 수 없었고, 첫 번째 섹션의 RAW Size는 0인 반면에 Virtual Size는 3000으로 다른 섹션에 비해 크게 잡혀있다. 따라서 첫 번째 섹션에 압축을 푸는 것으로 추측할 수 있다.

 

 

또한 임포트 하는 함수가 LoadLibrary와 GetProcAddress 두 개 뿐이다. 주로 패킹된 파일에서 이런 임포트 함수가 나타나는데 이는 원본 파일의 IAT를 복구할때 용이하므로 임포트하여 사용한다.

 

 

언패킹을 하기 위해 OEP를 찾아 dump해 주었다.

 

 

 

 

덤프를 진행한 뒤, Import REC로 IAT를 복구해주는 작업을 통해 언패킹을 진행하였다.

 

 

 

 

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

 

CoCreateInstance는 인스턴스를 생성하는 함수이고, OleInitialize와 OleUninitialize는 OLE 객체를 사용에 관한 함수이다.

 

 

 

 

4.  감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?

 

 

http://www.malwareanalysisbook.com/ad.html 이라는 URL이 존재하는 것으로 보아 네트워크 작업을 하는 것으로 보인다.