[Practical Malware Analysis] Lab03-01.exe 분석

01. 분석환경

1.1 분석 환경

Windows10

WindowsXP

1.2 분석 도구

PEView
Resource Hacker
PEiD
Exeinfo PE
strings
IDA Pro
OllyDbg
depends
SysAnalyzer
Wireshark

1.3 분석 샘플

Practical Malware Analysis Labs - Lab03-01.exe

02.정적 분석

2.1 패킹 여부 확인

분석 도구 : PEiD
분석 결과 : PEncrypt 3.1 Final → junkcode 로 표시됩니다. 이를 통해 파일이 패킹되었거나 암호화 되었음을 추측할 수 있습니다.

2.2 Import Address Table

분석 도구 : Dependency Walker
분석 결과 : kernel32.dll의 ExitProcess 함수만 확인할 수 있습니다.

2.3 문자열 확인

분석 도구 : pestudio
분석 결과 :

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run, SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders 특정 레지스트리 경로를 포함하고 있어 자가 시작과 관련있을 것이라 추측됩니다.
ws2_32, CONNECT %s:%i HTTP/1.0, www.practicalmalwareanalysis.com 네트워크 관련 문자열을 통해서 해당 url에 접속 시도를 하는 것으로 추측됩니다.
admin, vmx32to64.exe, AppData 과 같은 문자열 통해 권한 설정, 프로세스나 파일 이름과 연관되어 있을것이라 추측됩니다.

03. 동적분석

3.1 프로세스 확인

분석 도구 : Process Explorer
분석 결과 : 문자열에서 확인하였던 vmx32to64.exe 파일이 C:windows\\system32 에 저장되어 있고, 실행중임을 확인 가능합니다.

3.2 해시 값 확인

분석 도구 : WinMD5
분석 결과 : C:\\windows\\system32\\vmx32to64.exe 파일과 Lab03-01.exe 파일의 해시값이 동일하므로, Lab03-01.exe 파일이 실행될 때, C:\\windows\\system32 에 자가 복제하였음을 알 수 있습니다.

vmx32to64.exe (WinMD5), Lab03-01.exe (WinMD5)

3.3 레지스터리 확인

분석 결과 : \\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 에 VideoDriver 라는 이름으로C:\\windows\\system32\\vmx32to64.exe 가 등록된 것을 확인할 수 있습니다. 이로 인해, 컴퓨터 부팅 시 vmx32to64.exe 파일은 자동으로 실행됩니다.

3.4 네트워크 동작 확인

분석 도구 : Wireshark
분석 결과 :

파일이 실행되면 DNS 질의를 통해 www[.]practicalmalwareanalysis[.]co[m](<http://www.practicalmalwareanalysis.com/>) 도메인의 두 개 IP 주소(3.33.251.168, 15.197.225.128)를 얻습니다. 이후 3-way 핸드셰이크로 연결을 수립하고, SSL 통신을 한 뒤 종료됩니다. 이 과정은 지속적으로 반복됩니다.

04. 결과

Lab03-01.exe 파일은 알 수 없는 패킹 기법이 적용되어 있어 동작 과정을 통해 분석하였습니다. Lab03-01.exe 를 실행하면 C:\\windows\\system32\\vmx32to64.exe 에 자가 복제하고, \\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 에 VideoDriver 라는 이름으로 파일 경로를 지정하여 부팅 시 vmx32to64.exe 프로그램이 자동으로 실행되도록 합니다. 또, hxxps://www[.]practicalmalwareanalysis[.]com 으로 연결을 수립하고 데이터를 주고받습니다. 따라서 Lab03-01.exe는 공격자와 명령을 주고 받는 백도어로 추정됩니다.

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

[Practical Malware Analysis] Lab01-04.exe 분석 (2)	2024.10.18
[Practical Malware Analysis] Lab01-03.exe 분석 (1)	2024.10.03
[Practical Malware Analysis] Lab01-02.exe 분석 (1)	2024.10.01
[Practical Malware Analysis] Lab01-01.exe, Lab01-01.dll 분석 (0)	2024.09.30
x86-64 어셈블리어 (0)	2024.08.28

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

grain

[Practical Malware Analysis] Lab03-01.exe 분석

01. 분석환경

1.1 분석 환경

1.2 분석 도구

1.3 분석 샘플

02.정적 분석

2.1 패킹 여부 확인

2.2 Import Address Table

2.3 문자열 확인

03. 동적분석

3.1 프로세스 확인

3.2 해시 값 확인

3.3 레지스터리 확인

3.4 네트워크 동작 확인

04. 결과

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역

[Practical Malware Analysis] Lab03-01.exe 분석

01. 분석환경

1.1 분석 환경

1.2 분석 도구

1.3 분석 샘플

02.정적 분석

2.1 패킹 여부 확인

2.2 Import Address Table

2.3 문자열 확인

03. 동적분석

3.1 프로세스 확인

3.2 해시 값 확인

3.3 레지스터리 확인

3.4 네트워크 동작 확인

04. 결과

'🦾 보안 🦾 > 리버싱' 카테고리의 다른 글

'🦾 보안 🦾/리버싱' Related Articles

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역