Lab01-01.exe와 Lab01-01.dll 파일을 분석하여라.
1. 바이러스토탈에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가?
- Trojan.Agen.16384SS, Agent5.CDE, Trojan.Win32.Generic!BT 등 여러 파일 존재
2. 이 파일은 언제 컴파일 됐는가?
- PE View로 IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp를 확인해본 결과 2010/12/19 16: 16: 19 UTC에 컴파일 되었음을 확인 가능
3. 이 파일이 패킹 되거나 난독화 된 징후가 있는가? 그렇다면 무엇으로 판단했는가?
- PEiD로 확인한 결과 패킹 되거나 난독화 된 징후는 없으며 해당 프로그램은 Microsoft Visual C ++ 6.0에서 컴파일 되었음
4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?
- LAB01-01.EXE은 KERNEL32.DLL과 MSVCRT.DLL을 임포트하고 있음. MSVCRT.DLL은 큰 의미가 없으나 KERNEL32.DLL의 CopyFileA, CreateFileA, CreateFileMappingA, FindFirstFileA, FindNextFileA함수를 사용 하는 것으로 보아 파일을 탐색하여 복사하는 작업을 하며 strings 함수를 통해 확인한 결과 C:\라는 문자열이 존재하는 것으로 보아 탐색 대상은 C:\으로 보임
- LAB01-01.DLL은 KERNEL32.DLL, WS2_32.DLL, MSVCRT.DLL을 임포트 하고 있으나 KERNEL32.DLL, MSVCRT.DLL은 큰 의미를 갖지 않음. 다만 WS2_32.DLL은 특정 기능을 하나 Function명이 날라가 있어 Ordinal값을 통해 확인한 결과 closesocket, connect, htons, inet_addr, recv, send, shutdown, socket, WSAStartup, WSACleanup 함수를 사용 하는 것으로 보아 특정 대상과 통신하는 행위를 함을 알 수 있음
5. 감염된 시스템에서 검색할 수 있는 다른 파일이나 호스트 기반의 증거가 존재하는가?
-
다음은 strings LAB01-01.EXE의
실행 결과임
Kernel32.dll대신 kerne123.dll이라고 작성된 것으로 보아 정상적인 파일은 아님을 알 수 있음
6. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
- Strings LAB01-01.dll의 실행결과는 다음과 같음
127.26.152.13이라는 문자열을 확인 가능한 것으로 보아 이 프로그램은 네트워크 통신을 하고 있음을 알 수 있음
7. 이 파일의 목적은 무엇이라고 판단했는가?
- C:\ 밑의 파일들을 복사하여 127.26.152.13으로 전송하는 프로그램이라 판단됨