기초 정적 분석, lab01-03.exe

lab01-03.exe를 분석해보겠습니다. 

 

1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?

총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다.

분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다.

요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다.

 

이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. 

ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다.

 

2. 패킹이나 난독화의 흔적이 있는가? 그 이유는?

PEiD를 통해 확인해보겠습니다.

패킹은 위에서 확인한 바와같이 FSG패커로 나오고, EP section은 확인할 수 없었습니다.

그럼 언패킹을 해보겠습니다. fsg 언패킹 툴은 vmunpacker 1.2를 사용하였습니다.

언패킹한 파일을 다시 peid에 확인해보겠습니다.

컴파일 버전이 visual c++ 6.0으로 제대로 나오고 있습니다. 

 

다시 언패킹한 파일을 virustotal에서 확인해보겠습니다.

67개중에 45개에서 악성코드라고 탐지를 하였고,

어떠한 주소에 접속할 것이라고 유추가 가능합니다.

 

3. import를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 import를 보고 알 수 있었는가?

패킹되기 전의 파일과 언패킹한 파일, 두가지를 보며 비교해보겠습니다.

패킹된 파일은 kernel32.dll만을 링킹하고있습니다. 위 두가지 함수들은 주로 패킹에 관련된 것들을 사용할때 사용되는 함수들입니다. 

언패킹한 파일의 ole32.dll을 보겠습니다. 

CoCreateInstance함수는 인스턴스를 생성하고 관련된 작업을 하는 것으로 유추하였습니다. 

4. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는?

strings로 확인해보겠습니다.

패킹된 파일을 strings로 분석한 결과입니다.

따로 특이한 점은 보이지 않고, dependency walker에서 보았던 api함수명들이 보입니다. 

언패킹된 파일의 문자열을 보았을 때, 대부분의 함수명은 비슷하게 나오지만 아래부분에 url에 대한 정보가 나왔습니다.

이 링크로 접속을 하여 무언가를 한다는 것으로 확인이 가능합니다. 기타 다른 작업을 진행할 수도 있겠네요

 

이 파일은 해당 url에 접속해서 인스턴스를 생성하고 파일에 관련되어 어떠한 행동을 한다는 것으로 생각이 됩니다.