[Practical Malware Analysis] Lab01-02.exe 분석

정적 분석

01. 자동화 분석

분석 도구 : virustotal.com, PEView
분석 결과 :
- Lab01-02.exe : 57/72 탐지, V3, ALYac Trojan 으로 탐지

02. 패킹 여부 확인

분석 도구 : Exeinfope, PEView
분석 결과 :

실행 파일의 섹션 이름이 upx0, upx1, upx2로 나타내는 것을 통해서 UPX로 패킹된것을 추측할 수 있다. 또, exeinfo를 사용하여서 UPX로 패킹 된 것을 다시 확인하였고, UPX를 사용하여 언패킹 진행 후 분석합니다.

03. strings 확인

분석 도구 : strings, OllyDBG
분석 결과 :

위와 같은 strings가 실행 파일에 저장되어 있는 것을 확인하였습니다. OllyDBG로 확인한 결과 HGL345는 뮤텍스 이름으로, MalService는 서비스 이름으로 사용됩니다. 또한, Internet Explorer 8.0을 사용하여 hxxp://www.malwareanalysisbook.com 으로 접속하고 있는 것으로 추측됩니다.

04. IAT 확인

분석 도구 : Dependency Walker
분석 결과 :

kernel32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	CreateWaitableTimerA SetWaitableTimer WaitForSingleObject	대기 가능한 타이머 개체를 만들어 활성화 합니다. 지정된 개체는 신호 상태가 될 때까지 기다립니다.
	OpenMutexA CreateMutexA CreateThread ExitProcess	뮤텍스와 스레드를 생성하고 실행합니다.
	GetModuleFileNameA	실행 중인 DLL 또는 실행 파일의 경로를 가져옵니다.
	SystemTimeToFileTime	시스템 시간을 파일 시간으로 변환합니다.
advapi32.dll		보안 및 레지스트리 관리, 서비스 제어, 사용자 인증, 암호화 및 로그 관리 등과 같은 고급 시스템 기능을 제공하는 라이브러리
	CreateServiceA OpenSCManagerA StartServiceCtrlDispatcherA	SCM에 대한 연결을 설정하고 서비스 개체를 만들어서 추가합니다.
wininet.dll		인터넷 프로토콜을 사용하여 네트워크 통신을 지원하는 기능을 제공하는 라이브러리
	InternetOpenA InternetOpenUrlA	FTP 또는 HTTP URL로 지정된 리소스를 엽니다.
msvcrt.dll		비주얼 C++ 버전 4.2부터 6.0까지의 마이크로소프트 비주얼 C 런타임 라이브러리
	_exit XcptFilter exit _p_initenv _getmainargs _initterm _setusermatherr _adjust_fdiv _p_commode _p_fmode set_app_type except_handler3 controlfp	일반

05. 동작 추측

분석 도구 : OllyDBG
분석 결과 :

HGL345라는 이름으로 뮤텍스를 생성합니다.

Malservice라는 이름으로 서비스를 등록합니다.

특정 시간 후에 특정 작업을 수행하기 위해서 대기를 하는 것으로 추측됩니다.

hxxp://www.malwareanalysisbook.com으로 네트워크 연결을 요청합니다.

요약

이 파일은 upx로 패킹하여 파일의 크기를 줄이고 분석을 어렵게 하고자 하였습니다. MalService라는 이름으로 서비스를 생성하고 있으며, 이 서비스는 SCM(Service Control Manager)에 등록되어 특정 시간에 원하는 행위를 실행하고자 하는 것으로 보여집니다. 또, hxxp://www.malwareanalysisbook.com 에 접속을 유도하고 있는 것으로 추측됩니다.

호스트 기반 시그니처 :
- MalService
네트워크 기반 시그니처 :
- hxxp://www.malwareanalysisbook.com
해시값 :
- MD5 : 8363436878404da0ae3e46991e355b83
- SHA-1 : 5a016facbcb77e2009a01ea5c67b39af209c3fcb
- SHA-256 : c876a332d7dd8da331cb8eee7ab7bf32752834d4b2b54eaa362674a2a48f64a6

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

[Practical Malware Analysis] Lab01-04.exe 분석 (2)	2024.10.18
[Practical Malware Analysis] Lab01-03.exe 분석 (1)	2024.10.03
[Practical Malware Analysis] Lab01-01.exe, Lab01-01.dll 분석 (0)	2024.09.30
x86-64 어셈블리어 (0)	2024.08.28
x86-64 CPU 레지스터 (0)	2024.08.28

grain

[Practical Malware Analysis] Lab01-02.exe 분석

정적 분석

01. 자동화 분석

02. 패킹 여부 확인

03. strings 확인

04. IAT 확인

05. 동작 추측

요약

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

티스토리툴바

[Practical Malware Analysis] Lab01-02.exe 분석

정적 분석

01. 자동화 분석

02. 패킹 여부 확인

03. strings 확인

04. IAT 확인

05. 동작 추측

요약

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

'🦾 보안 🦾/리버싱' Related Articles

티스토리툴바