악성코드와 하율파파

실습 9-1 1. 어떻게 하면 악성코드가 자신을 설치하게 할 수 있는가? 입력받은 인자값은 argc, argv 두 개를 인자값 으로 받는다. 00402510 에서 받는 인자값은 다음 과 같다. 처음 인자값의 길이가 4인지 확인하고, 문자열을 하나씩 읽어와서 비교한다. 처음 61=a(16진수)이며, 문자를 1씩 증가하며 문자를 비교한다. 즉, 00402510 에서 받는 인자값은 abcd 이다. 2. 이 프로그램의 커맨드라인 옵션은 무엇인가? 패스워드 요건은 무엇인가? 커맨드라인 옵션 -in : 설치 -re : 삭제 -c : 업데이트 -cc : 출력 패스워드 : 4문자, abcd 3.이 악성코드가 특수 커맨드라인 패스워드를 요구하지 않게 영구 패치하려면 OllyDbg로 어떻게 해야 하는가? 00402510에..

실습 7-1 1. 이 프로그램은 어떤 방식으로 컴퓨터가 재시작할 때마다 실행(지속 메커니즘)을 보 장하는가? 서비스에 Malservice로 등록하여 시스템 부팅 시 서비스로 동작할 수 있도록 한다. 2. 이 프로그램은 왜 뮤텍스를 이용하고 있는가? 프로그램이 한번에 하나만 실행할 수 있도록 뮤텍스 생성 3. 이 프로그램을 탐지할 때 호스트 기반으로 좋은 시그니처는 무엇인가? Malservice이름으로 서비스 생성. HGL345라는 고유 명칭의 뮤텍스 생성. 4. 이 악성코드를 탐지할 때 네트원크 기반으로 좋은 시그니처는 무엇인가? http://www.malwareanalysisbook.com에 지속적으로 접근한다. 5. 이 프로그램의 목적은 무엇인가? HGL345 뮤텍스 생성하여 Malservice서비스..

악성코드 정보 로키랜섬웨어가 최근들어 이메일의 첨부파일 형태로 유포되고있다. 첨부파일의 압축파일은 java script 파일이며, 파일 실행시 해커의 서버에서 로키랜섬웨어를 다운받아 감염시키게 된다. 테스트 환경 Windows XP x86 분석정보 이메일에 첨부된 압축파일은 악성 java script 파일이 있으며, java script를 열어보면 난독화가 되어있다. 자바 스크립트 파일은 비교적 단순하게 난독화 되어있다. 변수를 만들어 변수에 문자열값을 가지고 있으며, 해당 변수명을 가져와 문자열을 만들어 특정 서버에서 악성 파일을 다운받아 실행시킨다. 난독화를 해제해 주요 정보를 획득하면 악성 Java Script는 아래 행위를 수행한다. 1. 해커의 서버에서 파일 다운로드 2. %temp% 폴더에 저..

실습6-1 1. main이 호출하는 서브루틴만으로 발견한 주요 코드 구조는 무엇인가? if문으로 되어있으며, 인터넷 상태를 받아와 있터넷이 연결 상태를 받아와 Success: Internet Connection를 출력하거나 Error 1.1: No Internet을 출력한다. 2. 0x40105F에 위치한 서브루틴은 무엇인가? 프로그램을 실행해 보면 위와같이 출력된다. 0x40105F는 프로그램 특성상 유추해 보면 printf 이다. 3. 이 프로그램의 목적은 무엇인가? InternetGetConnectedState 함수를 이용해 값을 받아와 1 = True (인터넷에 연결) 이면 Success: Internet Connection를 출력하거나 0 = False (인터넷에 연결되어있지 않음)이면 Erro..

악성코드 정보현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다. 테스트 환경Windows XP x86 분석정보문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다. 다음 위치에 파일을 생성한다. C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제) OS 운영체제 확인 암호화 제외 위치 암호화 파일 *.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob *.crt *.txt *.stc *.w..

실습 5-1 DllMain의 주소는 무엇인가? 1000D02E Imports 윈도우를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가? 100163CC gethostbyname에 함수는 몇 개인가? ctrl + x 눌러 상호참조 확인 sub_10001074 sub_10001656 sub_1000208F sub_10002CCE sub_10001365 5개의 함수에 의해 9번 상호참조되고 있다. 0x10001757에 위치한 gethostbyname 호출을 보면 어떤 DNS 요청이 이루어지는지 알 수 있는가? pics.praticalmalwareanalysis.com 요청 0x10001656에 있는 서브루틴에서 IDA Pro는 지역변수 몇 개를 인지하고 있는가? 23개 0x10001656..

테스트 환경 Windows XP x86 분석정보 악성코드는 다음 경로에 windowsIP.exe 라는 이름으로 생성된다. C:\WINDOWS\windowsIP.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 등록해 시스템 동작시 실행하도록 한다. 값 이름 : windowsIPUP 값 데이터 : c:\windows\windowsIP.exe 악성코드는 C&C통신을 하며 추가적인 명령을 받거나 VNC원격 제어, 웹캠녹화, 키로깅 등 피해자의 정보를 탈취한다. 진단 Virobot : Trojan.Win32.Infostealer.1041408

실습 3-1 악성코드의 임포트 함수와 문자열은 무엇인가? ExitProcess 하나 임포트 되어있다.bintext를 이용해 확인 할 수 있는 문자열이다. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가? C\WINDOWS\system32\vmx32to64.exe 파일 설치 레지스트리에 등록 키 값 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 값 이름 : VideoDriver 값 데이터 : C:\WINDOWS\system32\vmx32to64.exe 악성코드를 인식할 수 있는 유용한 네트워크 기반 시그니처가 존재하는가? 존재한다면 무엇인가? www.practicalmalwareanalysis.com 으로 DNS 요청을 수행한다. 실습 3-2 악성코드 자..

성인 플래시 게임을 통한 악성코드가 유포중이다. 테스트 환경 Windows XP x86 테스트 환경 파일 생성 C:\Documents and Settings\Administrator\Local Settings\Temp\MURA.exe(성인 플래시) C:\Documents and Settings\Administrator\Local Settings\Temp\GM.exe(악성 파일) C:\WINDOWS\system32\bcavie.exe (랜덤파일명) (GM.exe 복제) 서비스 등록 C&C 통신 플래시 게임 파일에 의해 생성된 악성 파일은 특정 C&C와 통신하며 추가적인 파일을 다운받거나 백도어 행위를 할 수 있다. 진단 Virobot :Dropper.S.Agent.56045871 Trojan.Win32.A..

실습 1-1 http//www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티 바이러스 시그니처에 일치하는 파일이 있는가? 2016년 01월 11일 기준, Lab01-01.exe는 21곳에서 진단하고 있으며 Lab01-01.dll은 16곳에서 진단하고 있다. 이 파일은 언제 컴파일 됐는가? 두 파일은 2010년 12월 19일 16시 16분에 컴파일 되었다. 이 파일이 패킹되거나 난독화된 징후가 있는가? 있다면 무엇으로 판단했는가? 난독화의 징후는 없다. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가? Lab01-01.exe의 CreateFileA, CopyFileA, FindFirstFileA,FindNextFileA (파일 생성과 복사, 파일 탐..