챕터.7 악의적인 윈도우 프로그램 분석

실습 7-1

1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보

장하는가?

서비스에 Malservice로 등록하여 시스템 부팅 시 서비스로 동작할 수 있도록 한다.

2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가?

프로그램이 한번에 하나만 실행할 수 있도록 뮤텍스 생성

3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가?

Malservice이름으로 서비스 생성.

HGL345라는 고유 명칭의 뮤텍스 생성.

4. 이 악성코드를 탐지할 때 네트원크 기반으로 좋은 시그니처는 무엇인가?

http://www.malwareanalysisbook.com에 지속적으로 접근한다.

5. 이 프로그램의 목적은 무엇인가?

HGL345 뮤텍스 생성하여 Malservice서비스를 생성하여 시스템 부팅시 http://www.malwareanalysisbook.com로 2100년까지 20개의 스래드를 생성해 지속적인 패킷을 날린다.(DoS Attack)

6. 이 프로그램은 언제 실행을 종료하는가?

2100년 1월 1일 0시 0분이 되면 종료한다.

실습 7-2

1. 이 프로그램은 어떤 방식으로 지속 메커니즘을 보장하는가?

지속메커니즘은 없다. 한 번 만 실행된다.

2. 이 프로그램의 목적은 무엇인가?

http://www.malwareanalysisbook.com/ad.html에 접속해 출력한다.

3. 이 프로그램은 언제 실행을 종료하는가?

해당 사이트를 출력한 후 프로그램 종료된다.

실습 7- 3

1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보

장하는가?

Lab07-03.dll 파일을  C:\windows\system32\kerne132.dll (kernel 이 아닌 kerne1 이다)로 복사 하여  실행파일이 해당 악성 DLL을 임포트 하게 변조한다.

2. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가?

C:\windows\system32\kerne132.dll 악성 파일명,  악성 DLL이 생성하는 뮤택스 (SADFHUHF)

3. 이 프로그램의 목적은 무엇인가?

3-1. exe file 행위

exe 파일이 실행 될 때 인자값이 있어야 실행 (인자값 = WARNING_THIS_WILL_DESTROY_YOUR_MACHINE)

C\ 하위에서 .exe 파일을 검색한다. 

C 하위의 .exe 파일이 로드하는 Kernel32.dll을 Kerne132.dll 로 교체한다.(악성 DLL을 로드하도록 한다.)

DLL file 행위

특정 서버에 접속해 명령을 받는다. 

sleep명령을 받으면 프로그램이 60초간 sleep 상태에 들어간다.

exec 명령은 특정 프로세스를 생성한다.

4. 일단 악성코드가 설치된다면 어떻게 삭제할 수 있는가?

모든 exe 파일을 감염시켜 악성 파일만 삭제해서는 문제가 될 수 있다.

악성 Kerne132.dll 파일을 삭제하고, 정상 Kernel32.dll 파일의 이름을 Kerne132.dll로 변경하거나, 복구프로그램을 만들어 복구해야 한다.