[Practical Malware Analysis] Lab01-03.exe 분석

01. 분석환경

1.1 분석 환경

Windows10

1.2 분석 도구

Virustotal

PEiD

exeinfo PE

VmUnpacker

DependencyWalker

PEStudio

OllyDBG

IDA

1.3 분석 샘플

Practical Malware Analysis Labs - Lab01-03.exe

---

02. 정적 분석 과정

2.1 패킹 확인

Entrypoint, File Offset 의 차이를 통해서도 패킹된 것을 확인할 수 있습니다. FSG 1.0 으로 압축된 것으로 추측됩니다. VmUnpacker를 사용하여 언패킹을 진행 후 분석을 진행합니다.

 

 

2.2 Strings 확인

파일 내부에 hxxp://www.malwareanalysis.book.com/ad.html URL이 저장되어 있는 것을 확인하였습니다.

 

2.3 IAT 확인

kernel32.dll		메모리 관리, 입출력 명령, 프로세스와 스레드 생성, 대부분의 Win32 기본적인 함수들을 포함하는 라이브러리
	LoadLibraryA GetProcAddress	라이브러리의 함수 또는 변수를 가져옵니다.
ole32.dll		OLE는 애플리케이션 간 데이터와 객체를 공유하는 기술로, 한 애플리케이션에서 생성된 객체(예: 문서나 이미지)를 다른 애플리케이션에 삽입하거나 연결할 수 있도록 해주는 라이브러리
	Olelnitialize CoCreatelnstance OleUninitialize	COM 라이브러리를 열고 섹션에 설명된 추가 기능을 사용하도록 설정합니다.
oleaut32.dll		다양한 애플리케이션 간에 자동화된 작업을 수행할 수 있도록 해주는 기술로, 주로 스크립트 언어와 프로그래밍 언어를 통해 COM 객체를 조작하는 데 사용하는 라이브러리
	SysAllocString SysFreeString Variantinit	문자열을 할당하고 해제합니다.

 

 

2.4 IDA 확인

 

위에서 보았던 URL을 사용하는 것 이외에 특별한 동작은 발견하지 못했습니다.

 

2.5 해당 페이지 접속

나와 있는 html 파일에 접속을 하였으니 더이상 사이트를 운영하고 있지 않습니다.

---

03. 요약

이 파일은 FSG로 패킹하여 파일의 크기를 줄이고 분석을 어렵게 하고자 하였습니다. String 에서 hxxp://www.malwareanalysisbook.com/ad.html URL이 발견되었으나 해당 사이트가 운영되고 있지 않아 자세한 내용을 확인하기는 어렵습니다. 이 실행 파일에서 해당 사이트로 접속하려는 시도 외에 다른 악성행위는 발견되지 않았습니다.