5. system level reversing

System Level Reversing

2009.11.03

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Anti-Virus Researcher, CISSP

장 영 준 주임 연구원

Copyright (C) AhnLab, Inc. 1988-2009. All rights reserved.

목 차

1. System Level Reversing

2. System Level Reversing Tools





1) System Level Reversing

1) 각 종 툴과 운영 체제의 다양한 서비스를 이용해서 프로그램 실행 파일과 입출력 값등을 조사해 정보를 추출하는 일련의 과정

2) System Level Reversing은 분석 대상이 되는 파일을 실행한다는 의미에서 동적 분석 또는 Dynamic Analysis 라고도 함

3) System Level Reversing의 주요 관점은 Black-box Testing과 유사

4) Black-box Testing 기술은 악성코드의 악의적인 기능들과 감염 기법들을 빠르게파악하는데 유효함

5) Code Level Reversing과 비교하여 분석 시간은 빠르나 상세한 기능들을 파악하기는 어려움

4



2) System Level Reversing의 주요 관점

1) System Level Reversing에서 주요한 시스템 정보 수집 대상

- File Change Monitoring

- Registry Change Monitoring

- Process와 Thread Monitoring

- Network Port Monitoring

- Network Sniffing과 Packet Capturing

- System Call Monitoring

5




1) System Level Reversing 환경 (1)


7

1) 실제 컴퓨터 시스템 환경일반 하드웨어를 이용한 윈도우 시스템 구성 그리고 외부 네트워크와 단절된 독립네트워크를 구성

- 시스템 복구 솔루션Symantec Norton Ghost 또는 Acronis True Image 처럼 시스템 전체를 이미지화후 복구 가능한 솔루션



1) System Level Reversing 환경 (2)

1) 가상화 시스템 이용시스템 가상화 솔루션을 이용하여 가상의 윈도우 시스템과 가상의 네트워크를 구성

- 가상화 솔루션Windows Virtual PC, VMware와 VirtualBox를 이용하여 하드웨어에 영향 받지 않

는 가상화 운영체제 지원 솔루션

8


2) Malicious Code Reversing Process

동적 분석 (Dynamic Analysis) 정적 분석 (Static Analysis)

파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작

1. 파일 형태 분석

2. 사용 API 분석

3. 문자열 분석

1. 시스템 분석

2. 프로세스 분석

3. 레지스트리 분석

4. 네트워크 분석

5. 기타 증상 분석

1. 증상 추가 분석

2. 각종 정보 수집

3. 관련 사항 확인

1. 디스어셈블링

2. 디버깅

1. 악성코드 판단

2. 진단 시그니쳐및 함수 제작

3. 분석정보 작성

분 석 프 로 세 스

9




3) PE File 분석 – Fileinsight와 PEView

- 4개의 창으로 구분 지원, 구조에 따른 블럭화 표시

- Hex Editing, 파일 구조, EP 계산, IAT와 EAT 구분

- Disassembly 지원 , 파일 다운로드 기능

10


4) Script File 분석 - Malzilla


- 스크립트 파일 구조 및 Decoding 분석

- Shellcode 분석 및 파일 다운로드 지원

11


5) Office File 분석 – Offvis와 OfficeMalScanner


- Office 파일에 포함된 취약점 확인

- Office 파일의 구조 분석

- 취약한 Office 파일의 파일 Offset 위치 확인

12



6) PDF File 분석 – PDFid와 PDFtk

- PDF 파일의 Zlib 압축 해제

- PDF 파일 구조 중의 취약한 부분

- 취약한 PDF 파일 내부의 Java Script 추출

- PDF 파일 자동 분석 Wepawet (alpha)

13

http://wepawet.iseclab.org/index.php






7) Process, Memory 및 Thread 분석 – Process Hacker

- Process, Services와 Network 실시간 모니터링

- Memory Dump, String Scan, Thread와 Handle 모니터링

14



15

8) File과 Registry 변화 분석 - SysAnalyzer

- 특정 파일에 의해 File과 Registry 변화 모니터링

- 특정 파일에 의해 호출되는 API 모니터링

- Network Traffice 모니터링

- 사용하는 Network Port 모니터링



9) 은폐형 파일 분석 - Gmer

- 다양한 은폐 기법으로 은폐된 프로세스, 파일 및 레지스트리 분석

- Process, Modules, Services와 Autostart 분석

16



10) Network Traffic 분석 - Wireshark

- 시스템의 Network Traffic 실시간 분석

- Protocol과 Packet 분석

17



11) 기타 유용한 Tools

• PE 파일 분석 – Frhed, HIEW, WinHex, PEiD, BinText

• Process, Memory 및 Thread 분석 - PE Tools, Process Explorer

• File과 Registry 변화 분석 - Install Control for Windows, Process Monitor

• 은폐형 파일 분석 – IceSword

• Network Traffic 분석 – TCPView, WinSniff

• PE 파일 자동 분석 – ThreatExpert

18

http://www.threatexpert.com/default.aspx

Copyright (C) AhnLab, Inc. 1988-2009. All rights reserved.19



* Reference

1) The Art of Virus Research and Defense

2) 리버싱 리버스 엔지니어링 비밀을 파헤치다

2) 리버스엔지니어링 역분석 구조와 원리

3) 소프트웨어 보안 코드 깨부수기

4) 소프트웨어 보안 검사 기술

20

Copyright (C) AhnLab, Inc. 1988-2009. All rights reserved.21


AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

AhnLabThe Joy of Care-Free Your Internet World

Technology

5. system level reversing