악성 코드 동적 분석 ( 특징, 동적 분석 툴, 가상환경 )

악성 코드 동적 분석

악성 코드 동적 분석 특징

• 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법
• 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함
• 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다.

악성 코드 동적 분석 방법

1. 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다.
2. 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인
3. 레지스트리 및 파일 변화 확인
4. 패킷 캡쳐 툴로 네트워크 동작 확인

동적 분석 Tool

1. 프로세스 관련 Tool
2. 파일 및 레지스트리 관련 Tool
3. 네트워크 관련 Tool

프로세스 관련 Tool

Process Explorer

 

• 실행되는 프로세스들을 통합 관리할 수 있는 도구
• 실행중인 프로세스 파악 및 우선권 변경, 정지, 강제 종료 등 조치 기능을 포함하고 있다.

Process Monitor

• 실시간 파일 시스템, 레지스트리, 프로세스 변화를 보여주는 툴
• 상당히 짧은 시간에 많은 것들이 지나가기 때문에 Filter 를 활용해서 특정한 프로세스 또는 특정 API 만 볼 수도 있기 때문에 잘 활용해서 사용해야 할 것

파일 및 레지스트리 관련 Tool

Regshot

• 1st Shot 으로 파일을 실행하기 전 시점을 스냅샷으로 남기고, 파일을 실행한 후 2nd Shot 으로 스냅샷을 남겨
  2개의 스냅샷을 비교해 파일 및 레지스트리의 변화를 txt 파일 형식으로 보여주는 툴

Autoruns

• Windows 시스템에서 부팅 후 자동으로 실행되는 프로그램이나 서비스들을 보여주고 관리하는 툴
• 악성 코드 분석 시 해당 파일 실행 전 상태를 저장하고 실행 후 새로고침 후 File → Compare 기능을 통해 실행 전과 실행 후에 어떤 프로그램이 실행되는지 어떤 레지스트리 및 파일이 등록되는지 변화를 확인 할 수 있는 툴

네트워크 관련 툴

Wireshark

• 네트워크 패킷 캡처 툴
• 해당 이더넷 인터페이스를 지나가는 패킷들을 보여주는 기능을 함
• 앞서 본 Process Monitor 와 마찬가지로 상당히 짧은 시간에 많은 패킷이 지나가기 때문에 필터 기능을 잘 활용해서 사용 해야 합니다.