악성 코드 동적 분석
악성 코드 동적 분석 특징
- 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법
- 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함
- 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다.
악성 코드 동적 분석 방법
- 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다.
- 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인
- 레지스트리 및 파일 변화 확인
- 패킷 캡쳐 툴로 네트워크 동작 확인
동적 분석 Tool
- 프로세스 관련 Tool
- 파일 및 레지스트리 관련 Tool
- 네트워크 관련 Tool
프로세스 관련 Tool
Process Explorer
- 실행되는 프로세스들을 통합 관리할 수 있는 도구
- 실행중인 프로세스 파악 및 우선권 변경, 정지, 강제 종료 등 조치 기능을 포함하고 있다.
Process Monitor
- 실시간 파일 시스템, 레지스트리, 프로세스 변화를 보여주는 툴
- 상당히 짧은 시간에 많은 것들이 지나가기 때문에 Filter 를 활용해서 특정한 프로세스 또는 특정 API 만 볼 수도 있기 때문에 잘 활용해서 사용해야 할 것
파일 및 레지스트리 관련 Tool
Regshot
- 1st Shot 으로 파일을 실행하기 전 시점을 스냅샷으로 남기고, 파일을 실행한 후 2nd Shot 으로 스냅샷을 남겨
2개의 스냅샷을 비교해 파일 및 레지스트리의 변화를 txt 파일 형식으로 보여주는 툴
Autoruns
- Windows 시스템에서 부팅 후 자동으로 실행되는 프로그램이나 서비스들을 보여주고 관리하는 툴
- 악성 코드 분석 시 해당 파일 실행 전 상태를 저장하고 실행 후 새로고침 후 File → Compare 기능을 통해 실행 전과 실행 후에 어떤 프로그램이 실행되는지 어떤 레지스트리 및 파일이 등록되는지 변화를 확인 할 수 있는 툴
네트워크 관련 툴
Wireshark
- 네트워크 패킷 캡처 툴
- 해당 이더넷 인터페이스를 지나가는 패킷들을 보여주는 기능을 함
- 앞서 본 Process Monitor 와 마찬가지로 상당히 짧은 시간에 많은 패킷이 지나가기 때문에 필터 기능을 잘 활용해서 사용 해야 합니다.
'보안 관제 관련 > 악성코드' 카테고리의 다른 글
| 문서형 악성코드 공격 벡터 및 공격 기법 (0) | 2024.04.11 |
|---|---|
| 악성 코드 샘플 사이트 (0) | 2022.12.03 |
| 악성 코드 정적 분석 ( 특징, 방법, 정적 분석 툴, 패킹, PE 구조) (0) | 2022.11.27 |
| Virustotal 기능 / Virustotal 사용법 / 악성 코드 기초 분석 / 바이러스 토탈 (0) | 2022.11.19 |
| 악성 코드의 유형 및 특징 사례 (0) | 2022.11.05 |
