Embed Size (px)
DESCRIPTION
Malware (Sample) Static/Dynamic Analysis (no reversing). Wollf Malware. - OnesCore System Team -. 1) 목적 , 방법 , 환경 및 기타. 목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집. 방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석. 환경 : Win32 악성코드이므로 Windows 환경필요. - PowerPoint PPT Presentation
Citation preview
Malware (Sample) Static/Dy-namic Analysis (no reversing)
- OnesCore System Team -
Wollf Malware
목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집
방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석환경 : Win32 악성코드이므로 Windows 환경필요
1) 목적 , 방법 , 환경 및 기타
도구 : Sysinternals, PEID, MD5CHECKER
2) 환경 기준 구성 및 분석• 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다 .
• 분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다 . ( 크게 분석 환경을 만들지 않음 )
• 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다 .
• 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다 .
• 배치파일 ( 일련의 명령어 ), 네트워크 모니터링 툴 , 레지스트리 , MD5 체크 를 이용해 상태를 기록 .
3) 기준구성
4) 분석 자료배치파일 (script.bat)
: 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜 텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조 )
네트워크 모니터링 툴 (TcpView.exe)
: 악성 코드의 네트워킹을 감시 ( 실시간 )
레지스트리 및 기타 (Procmon.exe)
: 악성 코드의 동작을 감시MD5(Md5Checker.exe)
: C:\windows.*.* 의 무결성 검사
Malware.exe악성코드 샘플
Tcp View
TcpView.exe
netstat
New Con-nection
실행전 (Script.bat) 실행후 (Script.bat)
IP/DOMAIN
Where is 207.70.175.42 ?
MD5
Md5Checker.exe
/WINDOWS
AU-TORUNS
Autoruns.exe
DLLS, ETC
분석 자료 .. 계속해서 ..
malware_exe_PM.PML
wrm_exe_PM.PML
Procmon ImageWhat DLL’s Included ( listdlls.exe )
pre_result.txt
result.txt
Script.bat
TO DO MORE DYNAMIC ANALYSIS
Revers Engineering begins soon
ReferencesKISA – 침해사고 분석 절차 안내서KISA – 관리자를 위한 Malware 분석방법악성코드와 멀웨어 포렌식 (Malware Forensics)
