[리팩토링_11주차] 악성코드 정적&동적분석

정적 분석이란?

“소프트웨어가 실행되지 않는 환경에서 소스코드 의미를 분석, 결함을 찾아내는 분석기법”

 

소프트웨어를 따로 실행 할 필요가 없어 직접 실행해야하는 동적분석에 비해서 안전하게 분석이 가능합니다.

 

1. 파일 유형 파악

- 분석 시 의심스러운 바이너리의 파일 유형을 구분

 

EX)

윈도우 기반 악성코드 대부분은 PE(Portable Executable) 파일 유형으로

공격자는 속임수로 파일확장자를 수정해 외형을 바꾸는데,

파일 확장자 대신 파일 시그니처를 이용하여 구분이 가능

 

파일 시그니처란?

파일 헤더에 작성되는 바이트의 독특한 배열순서

Ex) 윈도우 실행파일 또는 PE파일은 파일의 첫 바이트에

MZ 또는 헥사 문자 4D 5A라는 파일 시그니처를 가짐

 

파일 유형파악 Tool _HxD Editor

헥사 편집기는 파일의 각 바이트를 관찰 할 수 있는 도구로 위와 같은 HxD Editor를 실행하여 파일 시그니처를 확인한다.

 

 

2. 파일의 PE헤더(Portable Executable Header) 분석

- PE헤더는 윈도우 시스템에서 실행가능한 파일형식으로 프로그램에 대한 각종 정보가 담겨있음

 

해더(Header)란?

파일의 맨 앞에서 파일에 대한 간략한 정보로 구성된 데이터

 

파일의 PE헤더(Portable Executable Header) 분석 Tool _PE View

 

파일의 PE헤더를 자세하게 분류하여 각 헤더에 대해 보기 쉽게 나타내는 분석도구이다.

 

 

3. 문자열 확인 분석 Tool _Bin Text 

악성코드 파일로부터 아스키 및 유니코드 등의 문자열 정보를 추출

파일 내의 문자열을 나열해 분석하여 IP주소, 도메인 주소, 실행파일 유무, 명령어를 사용하는 경로 검사

단, 패킹이 되어있을 경우에는 언패킹을 진행한 후에 사용할 것.

 

4. 패킹여부 확인 Tool_PEID

파일의 패킹여부를 파악하는 툴

해당 파일의 패킹 여부, 패킹을 하였으면 어떠한 툴로 패킹을 하였는지 파악이 가능함

만약 패킹이 되어있지 않을 경우 어떠한 언어로 컴파일이 되었는지 확인이 가능

EX ) 위 사진 -> SVKP로 패킹
EX ) 아래 사진 -> Microsoft Visual C++ 로 컴파일

 

 

 

---

동적분석이란?

“소프트웨어가 실행중인 격리 된 환경에서 샘플을 실행하고 그 활동, 상호작용, 효과를 모니터링하는 분석기법”

 

실행과정을 직접 확인이 가능하기 때문에 패킹/난독화되어 정적분석에서 확인 할 수 없었던 오류 등을 분석 할 수 있습니다.

 

1. 프로세스
 

Porcess Explorer : 

윈도우 작업 관리자에서 더 많은 기능을 추가한 프로그램

현재 동작중이거나 새로 실행, 종료 되는 process들에 대해서 트리형식으로 실시간으로 보여줌

현재 사용되는 시스템의 리소스를 알 수 있고, 실행중인 프로세스를 클릭하여 속성창을 들어가보면 상세정보를 확인할 수 있음

Process Monitor :

 

현재 실행되고 있는 모든 프로세스들의 동작을 보여주고 변화하는 레지스토리, 파일, 네트워크 상태를 로그로 남김 

해당 프로세스가 어떤 파일을 읽고 쓰는지, 어떤 레지스토리를 변경하는지 등을 실시간으로 기록

모든 프로세스들을 보여주기 때문에 필터 기능을 적절히 활용

2. 파일 및 레지스토리

Autoruns :

 

윈도우 시스템에서 부팅 후 자동으로 시작되는 시작프로그램이나 서비스들을 보여주고 관리하는 모니터링 툴

악성코드를 실행시키기 전과 후에 레지스토리 영역에서 생성됐거나 삭제됐거나 변화된 게 있는지 확인

3. 네트워크

 

WireShark :

가장 보편적인 무료 오픈 소스 네트워크 패킷 분석 툴

모든 패킷에 대한 정보를 실시간으로 기록하며 개별 패킷 내의 프로토콜 정보를 세부적으로 파악 가능

원활히 분석하기 위해서는 tcp,udp,프로토콜에 대해 정확히 알고 있어야 함

 

 

 

 

11주차_악성코드 정적&동적분석.pptx

3.30MB