1장 연습문제 1-4

** 실전 악성코드와 멀웨어 분석에 나오는 연습문제를 공부할 겸 풀이한 것입니다.

1. http://www.VirusTotal.com/ 에 Lab01-04.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?

Lab01-04.exe 파일을 업로드 한 결과는 다음과 같다.

This file was last analysed by VirusTotal on  2017-07-11 05:29:14 UTC (1일, 3시간 ago) it was first analysed by VirusTotal on  2011-07-06 00:05:42 UTC.

탐지 비율: 52/62

안티바이러스	결과
Ad-Aware	Gen:Trojan.Heur.RP.cqW@aqIk5pji
AegisLab	Troj.W32.Generic!c

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있고 가능하다면 언패킹해보자.

[PEiD 프로그램 실행 결과]

Visual C++ 6.0 으로 컴파일이 되어있으며 별도의 패킹은 되어있지 않은 것으로 보인다.

(PEview를 이용해 열어보아도 정상적으로 임포트를 확인 할 수 있었다.)

3. 이 프로그램은 언제 컴파일됐는가?

PEview에서 Time Date Stamp 컴파일 시간이 2019/08/30 22:26:59 UTC로 나와있다.

하지만 현재는 2017년 이므로 이 파일의 컴파일 시간은 조작이 되었을 가능성이 있으며

따라서 컴파일 시간을 신뢰할 수 없다.

4. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가?  그렇다면 어떤 임포트를 보고 알 수 있었는가?

advapi32.dll의 임포트 함수는 프로그램이 권한을 가지고 무언가를 했음을 암시한다.

WinExec, WriteFile의 임포트 함수를 통해 VirusTotal.com 결과를 보면 프로그램이 파일을 디스크에 쓰고 실행함을 알 수 있다.

5. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?

Lab01-04.dll 파일을 PEview로 열어 문자열을 확인해보면 \system32\wupdmgr.exe는 이 함수가 해당 위치에서 파일을 생성하거나 수정함을 암시한다.

문자열 www.malwareanalysisbook.com/updater.exe 은 추가 악성코드를 저장하고 다운로드를 준비하는 것으로 보인다.

6. 이 파일은 리소스 섹션에 하나의 리소스가 있다. Resource Hacker를 이용해 리소스를 점검하고 리소스를 추출해보자. 리소스로부터 무엇을 알 수 있는가?

Resource Hacker 프로그램으로 Lab01-04.exe 파일을 열어보면 BIN 리소스를 볼 수 있는데

데이터를 보면 대부분 의미가 없다. 하지만 문자열을 주목해보면 이 프로그램은 DOS 모드에서 동작할 수 없다. 이 문자열은 모든 PE 파일의 시작점에서 DOS 헤더에 포함되는 에러 메시지다.

이 파일을 리소스 해커로 계속 분석하기 위해서는 Action -> Save Resource to a *.bin file 을 클릭하고 리소스를 저장 후 PEview 에서 파일을 열어 임베드 파일을 분석하자.

리소스 추출 결과 URLDownloadToFile 임포트를 확인할 수 있으며 이는 추가 악성코드를 다운로드하는 다운로더 프로그램이다.