Malware (Sample) Static/Dynamic Analysis (no reversing)

Presentation on theme: "Malware (Sample) Static/Dynamic Analysis (no reversing)"— Presentation transcript:

1 Malware (Sample) Static/Dynamic Analysis (no reversing)
Wollf Malware - OnesCore System Team -

2 1)목적,방법,환경 및 기타 목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집
방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석 환경 : Win32 악성코드이므로 Windows 환경필요 도구 : Sysinternals, PEID, MD5CHECKER

3 2)환경 기준 구성 및 분석 3)기준구성 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다.
분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다. (크게 분석 환경을 만들지 않음) 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다. 3)기준구성 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다. 배치파일(일련의 명령어), 네트워크 모니터링 툴, 레지스트리, MD5체크 를 이용해 상태를 기록.

4 4)분석 자료 배치파일(script.bat) : 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜
텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조) 네트워크 모니터링 툴(TcpView.exe) : 악성 코드의 네트워킹을 감시(실시간) 레지스트리 및 기타(Procmon.exe) : 악성 코드의 동작을 감시 MD5(Md5Checker.exe) : C:\windows.*.* 의 무결성 검사

5 Malware.exe 악성코드 샘플 Tcp View

6 TcpView.exe netstat

7 실행전(Script.bat) 실행후(Script.bat) New Connection IP/DOMAIN

8 Where is ? MD5

9 Md5Checker.exe /WINDOWS

10 AUTORUNS

11 Autoruns.exe DLLS, ETC

12 분석 자료.. 계속해서..

13 What DLL’s Included ( listdlls.exe )
Procmon Image Script.bat

14 TO DO MORE DYNAMIC ANALYSIS Revers Engineering begins soon
References KISA – 침해사고 분석 절차 안내서 KISA – 관리자를 위한 Malware 분석방법 악성코드와 멀웨어 포렌식(Malware Forensics)