2. 악성코드 동적 분석 방법론

악성코드 동적 분석 방법론
2010.2.18
㈜ 안철수연구소
ASEC (AhnLab Security Emergency response Center)
Anti-Virus Researcher, CISSP
장 영 준 주임 연구원

목 차
1. System Level Reversing

2. System Level Reversing Tools

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.

1) System Level Reversing
1) 각 종 툴과 운영 체제의 다양한 서비스를 이용해서 프로그램 실행 파일과 입출력 값
등을 조사해 정보를 추출하는 일련의 과정
2) System Level Reversing은 분석 대상이 되는 파일을 실행한다는 의미에서 동적 분
석 또는 Dynamic Analysis 라고도 함
3) System Level Reversing의 주요 관점은 Black-box Testing과 유사

4) Black-box Testing 기술은 악성코드의 악의적인 기능들과 감염 기법들을 빠르게
파악하는데 유효함
5) Code Level Reversing과 비교하여 분석 시간은 빠르나 상세한 기능들을 파악하기
는 어려움

4


2) System Level Reversing의 주요 관점
1) System Level Reversing에서 주요한 시스템 정보 수집 대상

- File Change Monitoring
- Registry Change Monitoring
- Process와 Thread Monitoring

- Network Port Monitoring
- Network Sniffing과 Packet Capturing
- System Call Monitoring

5


1) System Level Reversing 환경 (1)
1) 실제 컴퓨터 시스템 환경
일반 하드웨어를 이용한 윈도우 시스템 구성 그리고 외부 네트워크와 단절된 독립
네트워크를 구성
- 시스템 복구 솔루션
Symantec Norton Ghost 또는 Acronis True Image 처럼 시스템 전체를 이미지화
후 복구 가능한 솔루션

7


1) System Level Reversing 환경 (2)
1) 가상화 시스템 이용
시스템 가상화 솔루션을 이용하여 가상의 윈도우 시스템과 가상의 네트워크를 구성
- 가상화 솔루션
Windows Virtual PC, VMware와 VirtualBox를 이용하여 하드웨어에 영향 받지 않
는 가상화 운영체제 지원 솔루션

8


2) Malicious Code Reversing Process
동적 분석 (Dynamic Analysis)

파일 분석

증상 분석

 정적 분석 (Static Analysis)

정보 분석

코드 분석

엔진 제작

1. 파일 형태 분석

1. 시스템 분석

1. 증상 추가 분석

1. 디스어셈블링

1. 악성코드 판단

2. 사용 API 분석

2. 프로세스 분석

2. 각종 정보 수집

2. 디버깅

2. 진단 시그니쳐
및 함수 제작

3. 문자열 분석

3. 레지스트리 분석

3. 관련 사항 확인
3. 분석정보 작성

4. 네트워크 분석
5. 기타 증상 분석

분석

9

프로세스


3) PE File 분석 – Fileinsight와 PEView
-

-

Hex Editing, 파일 구조, EP 계산, IAT와 EAT 구분

-

10

4개의 창으로 구분 지원, 구조에 따른 블럭화 표시

Disassembly 지원 , 파일 다운로드 기능


4) Script File 분석 - Malzilla
-

-

11

스크립트 파일 구조 및 Decoding 분석

Shellcode 분석 및 파일 다운로드 지원


5) Office File 분석 – Offvis와 OfficeMalScanner
-

-

Office 파일의 구조 분석

-

12

Office 파일에 포함된 취약점 확인

취약한 Office 파일의 파일 Offset 위치 확인


6) PDF File 분석 – PDFid와 PDFtk
-

-

PDF 파일 구조 중의 취약한 부분

-

취약한 PDF 파일 내부의 Java Script 추출

-

13

PDF 파일의 Zlib 압축 해제

PDF 파일 자동 분석 Wepawet (alpha)


7) Process, Memory 및 Thread 분석 – Process Hacker
-

-

14

Process, Services와 Network 실시간 모니터링

Memory Dump, String Scan, Thread와 Handle 모니터링


8) File과 Registry 변화 분석 – SysAnalyzer, Install Control for Windows
-

-

특정 파일에 의해 호출되는 API 모니터링

-

Network Traffice 모니터링

-

15

특정 파일에 의해 File과 Registry 변화 모니터링

사용하는 Network Port 모니터링


9) 은폐형 파일 분석 - Gmer
-

-

16

다양한 은폐 기법으로 은폐된 프로세스, 파일 및 레지스트리 분석

Process, Modules, Services와 Autostart 분석


10) Network Traffic 분석 - Wireshark
-

-

17

시스템의 Network Traffic 실시간 분석

Protocol과 Packet 분석


11) 기타 유용한 Tools
•

•

Process, Memory 및 Thread 분석 - PE Tools, Process Explorer

•

File과 Registry 변화 분석 - Process Monitor

•

은폐형 파일 분석 – IceSword

•

Network Traffic 분석 – TCPView, WinSniff

•

18

PE 파일 분석 – Frhed, HIEW, WinHex, PEiD, BinText

PE 파일 자동 분석 – ThreatExpert



19


AhnLab

The Joy of Care-Free Your Internet World

AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,
in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

20


2. 악성코드 동적 분석 방법론

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (7)

Ähnlich wie 2. 악성코드 동적 분석 방법론

Ähnlich wie 2. 악성코드 동적 분석 방법론 (20)

Mehr von Youngjun Chang

Mehr von Youngjun Chang (12)

2. 악성코드 동적 분석 방법론