악성코드 샘플 분석

기초 분석

Virustotal

- 52개의 백신에서 악성코드 진단

- Trojan, adware, Downloader 등 악성코드 발견

- win32를 통해 window 환경에서 실행되는 파일 형태임을 추정

- 트로이 목마 성격과 광고 목적의 애드웨어, 인터넷 등을 통해 다운로드 할 수 있는 악성코드로 추정

 

---

 

정적 분석

Exeinfo PE

- Microsoft Visual C++을 통해서 코딩이 된 것을 확인할 수 있고, Not packed를 통해서 패킹이 되지 않음을 확인할 수 있다

 

 

 

 

 

- virustotal의 결과값과 해쉬 값이 일치하는 것을 확인할 수 있다

 

 

 

 

 

 

 

Bintext

- Bintext를 통해서 파일경로, 도메인, 파일이 어떻게 실행되는지 확인할 수 있다

- a-ton.co.kr 도메인 주소를 통해 어떤 행위를 할 수 있고, nskSetup.exe. 실행파일이 설치되거나 실행하여 악성행위를 할 것으로 추정

 

 

 

 

 

 

Peview

- This program cannot be run in DOS mode 라는 문구를 보어 DOS 환경에서는 실행할 수 없고, Window 환경에서 실행이 가능한 걸 알 수 있다

 

---

 

동적 분석

Process Explorer

- 어떤 프로그램이 특정한 폴더나 디바이스에 접근하는지 확인 가능한 프로그램 

- bton02.exe 파일을 실행하면 파일이 바로 삭제되는 걸 확인

- dllhost.exe 실행파일이 실행 되었다가 사라지는 것을 확인할 수 있었다

(*dllhost.exe : com개체를 실행시키는 환경을 제공 및 관리하는데 사용, 악성코드가 이름을 가장하는 경우도 있으므로 주의 필요)

 

 

 

 

 

 

Process Monitor

- 존재하지 않는 개체를 열려고 했다는 것을 알리는 name not found, no such file이 결과로 나오는 것을 확인

 

 

 

 

 

 

Autoruns

- 윈도우 부팅 시 자동으로 실행되는 프로그램 정보 제공과 모니터링을 해주는 프로그램

- 악성샘플 실행 전후 차이가 없었음을 확인할 수 있었다

 

 

 

 

 

 

 

SmartSniff

-  IP로 들어오는 패킷을 캡쳐해 프로그램으로 보기 쉽게 정리한 프로그램

- 악성샘플을 실행 시켜 보았으나 실행 전후 큰 차이가 없음을 확인

 

 

 

 

 

 

 

 

Wireshark

- 패킷을 분석할 때 활용

- 비정상적인 패킷 포착

- 악성코드를 실행시켰을때 변화를 발견하지 못하였다

 

---

 

 

악성코드 분석 결론

 

기초 분석

- exe 실행 파일임을 확인할 수 있었고, 대다수의 백신에서 악성코드로 진단

- 윈도우 환경에서 실행되며 Trojan, adware, Downloader 종류의 악성코드로 추정

 

정적 분석

- C++ 코딩이 된 것을 확인, 패킹이 되지 않았음을 확인 

- 2015년 8월 14일에 만들어졌으며, 네트워크 행위를 할 수 있음을 확인

- a-ton-co.kr 도메인 주소를 통해 악성 행위를 저지를 가능성이 있으며, 이를 통해 nsksetup.exe. 파일을 설치하거나 실행할 것임을 추정

 

동적 분석

- process exploer 실행결과 악성파일이 실행 되었다가 사라지는 것을 확인하였지만 다른 동적 도구에서는 별다른 변동이 없음을 확인

 

결론

: 해당 파일은 a-ton.co.kr 도메인 주소와 연동된 악성코드로 예측이 되고 해당 사이트는 현재 제대로 활동하지 않고, 파일 실행시 네트워크, 파일 및 레지스트리에 별다른 영향을 주지 않는 것을 보았을 때 현재는 활동하지 않는 악성코드로 추정