[2007 CodeEngn Conference 01] 이강석 - Malware Analysis Start

1st CodeEngn Seminar 07.07.21

1

http://www.CodeEngn.com

이강석이강석 Certlab%Gmail.comCertlab%Gmail.com

Malware Analysis StartMalware Analysis StartMalware Analysis Start


2


# Agenda

악성코드의 정의1

악성코드의 제작3

발전하는 악성코드 제작툴4

공부해야 할 것들2

악성코드 분석 랩 구축5

AntiVirus Program7

악성코드 탐지기법8

악성코드 분석6


3


악성코드의악성코드의 소개소개

#1. MalwareCode#1. MalwareCode#1. MalwareCode


4


■ Malicious Code : Malware(Virus + Worm + Backdoor, Trojan, Spyware, Etc..)

■ 정의사용자의 의사와는 관계없이 시스템을 파괴하거나 정보를 유출하는 등악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말합니다.

#1. MalwareCode


5


■ 웜, 바이러스 감염사고 월별 발생 추이

출처 : 국가정보원 - Monthly 사이버 시큐리티 2007년 7월호

#1. MalwareCode


6


출처 : 국가정보원 –Monthly 사이버 시큐리티 2007년 7월호

# 문제점- 최신 윈도우 보안패치 미흡- 백신프로그램의 업데이트 미흡

#1. MalwareCode


7


악성코드악성코드 분석을분석을 위한위한 공부과제들공부과제들

#2. 공부해야할것들#2. #2. 공부해야할것들공부해야할것들


8


#2. 공부과제

PE FormatPE Format


9


AssemblyAssembly

#2. 공부과제


10


APIAPI

#2. 공부과제


11


Programming LanguageProgramming Language

File FormatFile Format

Memory / ProcessMemory / Process

DebuggingDebugging

Calling Conventions / StackCalling Conventions / Stack

Manual UnpackingManual Unpacking

Windows KernelWindows Kernel

SEHSEH

……

……

#2. 공부과제


12


일반화일반화 되어있는되어있는 악성코드들의악성코드들의 기본뼈대기본뼈대

#3. 악성코드의 제작#3. #3. 악성코드의악성코드의 제작제작


13


Injection();

Work();

jmpEP();

Target_search();

status();# 기본적인 MalwareCode 제작Sample01.c

#3. MalwareCode Coding


14


Search_p2p();

Copy_mfile();

Run_add();

Copy_file();# 기본적인 p2p MalwareCode 제작Sample02.c



15


Run_IRC();

Run_add();

Copy_file();# 기본적인 IRC MalwareCode 제작Sample03.c



16


악성코드악성코드 제작툴도제작툴도 발전하고발전하고 있다있다..

#4. 악성코드 제작 툴#4. #4. 악성코드악성코드 제작제작 툴툴


17


#4. 악성코드 제작툴


18


악성코드악성코드 분석을분석을 위한위한 다양한다양한 환경환경 구축구축

#5. 악성코드 분석 랩 구축#5. #5. 악성코드악성코드 분석분석 랩랩 구축구축


19


1

PE File 분석툴모니터링 툴디버깅 툴디어셈블러 툴………

2

Windows 2000Windows XPWindows XP SP1Windows XP SP2………

3

Static AnalysisDynamin Analysis………

#5. 악성코드 분석 랩 구축


20


MalwareCode Sample AnalysisMalwareCode Sample Analysis

#6. 악성코드 분석#6. #6. 악성코드악성코드 분석분석


21


Dynamic Analysis

-실행을 통한 분석-그에따른 환경구축-시나리오 파악-디버깅&코드 분석

Static Analysis

-정밀조사가 필요한 핵심부분세밀한 코드분석-디버깅&코드 분석

MalwareAnalysis

#6. 악성코드 분석


22


Dynamic AnalysisDynamic Analysis

Analysis

샘플실행 /동작방식 분석

MUP

초기분석



23


Static AnalysisStatic Analysis

Analysis

Debugging /Disassembler

MUP

초기분석



24


AntiVirus ProgramAntiVirus Program

#7. AntiVirus Program#7. AntiVirus Program#7. AntiVirus Program


25


어셈러브어셈러브 AntiVirus 2007 by CertlabAntiVirus 2007 by Certlab

#7. AntiVirus Program


26


악성코드를악성코드를 탐지하는탐지하는 다양한다양한 기법들기법들

#8. 악성코드 탐지기법#8. #8. 악성코드악성코드 탐지기법탐지기법


27


File base Detection Tech

#8. 악성코드 탐지기법


28


Heuristic Detection Tech



29


Generic Detection Tech #1



30


Generic Detection Tech #2



31


ReferenceReference

어셈블리어 개발자그룹www.asmlove.co.kr

다양한 악성코드 탐지기법www.ahnlab.co.kr

국가정보원 - Monthly 사이버시큐리티 2007년 7월호www.ncsc.go.kr

Manual Unpackingwww.icrack.co.kr

# Reference


32


www.certlab.orgwww.asmlove.co.kr

이강석 / [email protected]

감사합니다감사합니다..

Technology

[2007 CodeEngn Conference 01] 이강석 - Malware Analysis Start