![]()
BinText BinText 는 파일에 포함된 문자열들을 GUI 의 형태로 보여주는 툴 입니다. 해당 툴의 경우 패킹이 된 파일을 스캔할 경우에는 제대로된 정보가 나오지 않기 때문에 언패킹을 꼭 진행한 후에 사용을 해야합니다. BinText 사용법 Bintext 를 실행합니다. 우측 상단 Browse 박스를 클릭해 스캔하고 싶은 파일을 불러온 후 우측에 Go 박스를 클릭합니다. 해당 파일에 포함된 문자열들이 우측 그림과 같이 아래에 나열되게 됩니다. 해당 파일의 문자열을 확인해 해당 파일에 Import 한 DLL 의 정보와 함께 사용된 함수를 확인할 수 있습니다. 네트워크 행위를 하는 파일의 경우에는 해당 파일에 포함된 IP 주소와 URL 정보 등도 확인이 가능할 것으로 보여집니다. Strings Bin..
![]()
Exeinfo PE 해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 하였는지 확인이 가능한 툴 Exeinfo 사용법 좌측 그림에서 우측 상단에 체크된 파일 모양 박스를 클릭해 파일을 불러 올 수 있다. 파일을 스캔하게 되면 우측과 같은 모습을 확인할 수 있음 상단부터 체크된 곳은 알아둬야 할 것 으로 보여집니다. 상단에 스캔한 파일의 이름 Image is 32 bit executable 의 경우 32 bit 로 구동이 된다 라는 것을 알려주는 것 UPX 0.89 - 3.xx 의 경우 ' UPX ' 라는 패킹 툴로 패킹이 된 것을 확인 할 수 있다. unpack "upx.exe -d" from http:// ........... 의 경우 해당 UPX 로 패킹처리 ..
![]()
MalwareBazaar ( https://bazaar.abuse.ch/browse/ ) 무료로 횟수 상관없이 악성 코드 샘플을 다운로드 할 수 있는 사이트 현재도 매일 악성 코드 샘플들이 매일 업로드 되고 있습니다. 애드웨어/PUP/PUA 계열 악성 코드는 업로드 되지 않습니다. urlhaus.abuse.ch ( https://urlhaus.abuse.ch/browse/ ) Drive by Download 같은 기법으로 뿌려지고 있거나 웹 상에서 피싱 사이트 같은 URL 들이 올라오는 사이트 C&C 서버 까지 열려있는 샘플을 구하기 쉽다. 현재도 계속 악성 코드가 업로드 되고 있습니다. Virus Share ( https://virusshare.com/ ) 여러 형식의 악성 코드를 많이 공유하는 사이트..
![]()
악성코드 샘플 분석 환경 구축 가상 환경을 구성하는 이유 해당 파일 분석을 할 때 해당 파일이 예기치 못하게 실행 될 수 있습니다. 만약 해당 파일이 악성 파일일 경우 대처하기 까다롭기 때문에 가상 환경을 구축하여 샘플 분석을 진행합니다. 가상 머신의 Snapshot 기능을 활용한 원활한 분석이 가능합니다. VMware 가상 환경 구축 VMware workstation Pro 17 버전을 사용하였습니다. VMware 를 설치한 후 Create a New Virtual Machine 을 클릭하게 되면 우측과 같은 화면이 진행됩니다. Typical 또는 Custom 이 있는데 필자의 경우 기본적인 Typical 을 선택해 설치를 진행하였습니다. 위 사진의 경우 Typical 또는 Custom 을 선택 한 후..
![]()
악성 코드 동적 분석 악성 코드 동적 분석 특징 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다. 악성 코드 동적 분석 방법 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다. 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인 레지스트리 및 파일 변화 확인 패킷 캡쳐 툴로 네트워크 동작 확인 동적 분석 Tool 프로세스 관련 Tool 파일 및 레지스트리 관련 Tool 네트..
