챕터1. 실습문제 풀이

실습 1-1

1. http//www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티 바이러스 시그니처에 일치하는 파일이 있는가?
   
   2016년 01월 11일 기준, Lab01-01.exe는 21곳에서 진단하고 있으며 Lab01-01.dll은 16곳에서 진단하고 있다.

2. 이 파일은 언제 컴파일 됐는가?
   
   두 파일은 2010년 12월 19일 16시 16분에 컴파일 되었다.
   
   

   

   
   
   
3. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가?
   
   난독화의 징후는 없다.
   
   

   

   
   
   
4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
   
   Lab01-01.exe의 CreateFileA, CopyFileA, FindFirstFileA,FindNextFileA (파일 생성과 복사, 파일 탐색)
   
   

   

   
   
   Lab01-01.dll은 CreateProcessA, CreateMutexA, sleep, strncmp, ( 프로세스 생성, 뮤택스 생성, 슬립, 문자열 비교  등 의심되는 행위가 많다.
   
   

   
   
   

5. 감염된 시스템에서 검색할 수 있는 다른 파일이나 호스트 기반의 증거가 존재하는가?
   
   C:/windows/system32폴더에 kerne132.dll(kernel32.dll로 위장하는 파일)를 생성 할 것으로 의심
   
   

   

   
   
   
6. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
   
   Lab01-01.dll 파일의 문자열 확인시 127.26.152.13 이라는 IP주소가 보인다.
   또한, Denendency Walker로 보면 WS2_32.dll을 임포트 하는것을 확인할 수 있으며, 네트워크 통신 관련 기능을 제공한다.
   
   

   

   
   
   
7. 이 파일의 목적은 무엇이라 판단하는가?
   
   Lab01-01.exe 는 C:/windows/system32/kerne132.dll 생성, kernel132.dll가 Lab01-01.dll파일로 보이며, 이 dll파일을 이용해 외부와 통신하며 시스템 정보등을 전송한다. 
   
   
   
   

실습 1-2

Lab01-02.exe 파일을 분석하라

1. http//www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
   
   

   

   
   
   

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
   
   
   PEID로 확인 한 결과 UPX로 패킹되어 있는것을 확인 할 수 있다. 
   올리디버그 이용해서 UPX로 난독화 된 것을 언패킹 할 수 있으며, UPX 언패킹 툴을 이용해서도 언패킹 할 수 있다.

   
   

   

   

   
   
   

3. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
   
   CreateService, InternetOpenUrl 등
   
   

   
   
   
   

4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
   
   http://www.malwareanalysisbook.com 으로 접속한다.
   
   

   

실습 1-3

Lab01-03.exe 파일을 분석하라

1. http//www.VirusTotal.com/에 Lab01-03.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
   
   

   
   
   
   

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
   
   FSG로 패킹되어 있으며, 툴이나 ollydbg를 이용해 패킹할 수 있다.
   책을 따라간다면 18장에 언패킹을 방법을 배운다.
   

   
   

   
   
   
3. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
   
   패킹을 풀지 않고 확인하기 어렵다.
   
   
4. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
   
   패킹을 풀지 않고 확인하기 어렵다.

실습 1-4

Lab01-04.exe 파일을 분석하라

1. http//www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가?
   

   

   
   
   

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 패킹되어 있다면 언패킹 해보자.
   
   PEID로 확인 결과, 패킹되었거나 난독화의 징후는 없다.
   

   

   
   
   

3. 이 프로그램은 언제 컴파일됬는가?
   
   2019년 8월 30일에 컴파일되었다고 확인 되나, 이 날짜는 미래의 날짜므로 컴파일 시각이 변조된 것이므로 실제 컴파일 시각은 알기 어렵다.
   

   
   

   
   
   

4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
   
   OpenProcess, WriteFile 등 
   
   

   

   
   
   
   
5. 감염된 시스템에서 악성코드를 인식하는데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?
   
   

   

   
   
   6번 에서 리소스 파일로 저장한 파일을 IDA로 열어보면 다음과 같은 내용을 확인 할 수 있다.특정 URL에서 파일을 다운로드 받아 해당 파일을 system32\wupdmgrd.exe 로 저장함을 알 수 있다.
   
   

   

   
   
   
6. 이 파일은 리소스 섹션에 하나의 리소스가 있다. Resource Hacker를 이용해 리소스를 점검하고 리소스를 추가해 보자. 리소스로 무엇을 알 수 있는가?
   
   Resource Hacker - 기능 - 바이너리 파일로 저장 
   Resource Hacker로 저장된 파일을 Dependency Walker로 확인해 보면 URLDownloadToFileA 을 호출하는 것을 알 수 있다.