기초 분석
Virustotal
- 52개의 백신에서 악성코드 진단
- Trojan, adware, Downloader 등 악성코드 발견
- win32를 통해 window 환경에서 실행되는 파일 형태임을 추정
- 트로이 목마 성격과 광고 목적의 애드웨어, 인터넷 등을 통해 다운로드 할 수 있는 악성코드로 추정
정적 분석
Exeinfo PE
- Microsoft Visual C++을 통해서 코딩이 된 것을 확인할 수 있고, Not packed를 통해서 패킹이 되지 않음을 확인할 수 있다
- virustotal의 결과값과 해쉬 값이 일치하는 것을 확인할 수 있다
Bintext
- Bintext를 통해서 파일경로, 도메인, 파일이 어떻게 실행되는지 확인할 수 있다
- a-ton.co.kr 도메인 주소를 통해 어떤 행위를 할 수 있고, nskSetup.exe. 실행파일이 설치되거나 실행하여 악성행위를 할 것으로 추정
Peview
- This program cannot be run in DOS mode 라는 문구를 보어 DOS 환경에서는 실행할 수 없고, Window 환경에서 실행이 가능한 걸 알 수 있다
동적 분석
Process Explorer
- 어떤 프로그램이 특정한 폴더나 디바이스에 접근하는지 확인 가능한 프로그램
- bton02.exe 파일을 실행하면 파일이 바로 삭제되는 걸 확인
- dllhost.exe 실행파일이 실행 되었다가 사라지는 것을 확인할 수 있었다
(*dllhost.exe : com개체를 실행시키는 환경을 제공 및 관리하는데 사용, 악성코드가 이름을 가장하는 경우도 있으므로 주의 필요)
Process Monitor
- 존재하지 않는 개체를 열려고 했다는 것을 알리는 name not found, no such file이 결과로 나오는 것을 확인
Autoruns
- 윈도우 부팅 시 자동으로 실행되는 프로그램 정보 제공과 모니터링을 해주는 프로그램
- 악성샘플 실행 전후 차이가 없었음을 확인할 수 있었다
SmartSniff
- IP로 들어오는 패킷을 캡쳐해 프로그램으로 보기 쉽게 정리한 프로그램
- 악성샘플을 실행 시켜 보았으나 실행 전후 큰 차이가 없음을 확인
Wireshark
- 패킷을 분석할 때 활용
- 비정상적인 패킷 포착
- 악성코드를 실행시켰을때 변화를 발견하지 못하였다
악성코드 분석 결론
기초 분석
- exe 실행 파일임을 확인할 수 있었고, 대다수의 백신에서 악성코드로 진단
- 윈도우 환경에서 실행되며 Trojan, adware, Downloader 종류의 악성코드로 추정
정적 분석
- C++ 코딩이 된 것을 확인, 패킹이 되지 않았음을 확인
- 2015년 8월 14일에 만들어졌으며, 네트워크 행위를 할 수 있음을 확인
- a-ton-co.kr 도메인 주소를 통해 악성 행위를 저지를 가능성이 있으며, 이를 통해 nsksetup.exe. 파일을 설치하거나 실행할 것임을 추정
동적 분석
- process exploer 실행결과 악성파일이 실행 되었다가 사라지는 것을 확인하였지만 다른 동적 도구에서는 별다른 변동이 없음을 확인
결론
: 해당 파일은 a-ton.co.kr 도메인 주소와 연동된 악성코드로 예측이 되고 해당 사이트는 현재 제대로 활동하지 않고, 파일 실행시 네트워크, 파일 및 레지스트리에 별다른 영향을 주지 않는 것을 보았을 때 현재는 활동하지 않는 악성코드로 추정
'정보보안' 카테고리의 다른 글
악성코드 분석 보고서 작성 연습 (0) | 2023.12.10 |
---|---|
악성코드 샘플 분석2 (0) | 2023.12.03 |
정적, 동적 Tool 실습 (0) | 2023.11.14 |
샘플 분석 환경 구성과 Search (0) | 2023.11.06 |
악성코드 정적분석 동적분석 (0) | 2023.10.28 |