고객센터

안녕하세요! SmartSniff 사용법 다운로드 리팩토링 21회차 포스팅을 시작하겠습니다.지난 시간 기초분석에 이어 정적분석과 동적분석을 이번 시간에 작성하고Snort룰 시그니처를 이용한 탐지 패턴을 만들고 적용하는 과정은 다음 포스팅에서 하겠습니다.​1. 정적분석 - Exeinfo PE, PEiD가장 먼저 Exeinfo PE와 PEiD의 검사 결과입니다. 먼저 아래의 그림을 보시면, Exeinfo PE분석 결과 마이크로소프트 비쥬얼 C++로 컴파일 된 32bit 실행 파일임을 알 수 있고 패킹되어 있지 않음을 알 수 있습니다. Exeinfo PE 분석 결과교차 검층을 위해 PEiD를 사용한 SmartSniff 사용법 다운로드 아래 그림에서도 역시 패킹이 되어있지 않음을 알 수 있습니다.PEiD 분석 결과2. 정적분석 - BinText, StringsBinText 분석 결과위의 문구는 분석 결과에서 자주 보이는 문구로 윈도우 실행파일임을 뜻하며, 이는 Exeinfo PE의 분석 결과를 뒷받침해 줍니다.BinText 분석 결과'address', 'connection', 'connected'의 단어로 미루어보아 무엇인가 네트워크 연결 행위를 할 것으로 추정됩니다.BinText 분석 결과 또한, 'Downloading', 'Install'등의 문자열을 통해 무엇인가를 다운받고 설치할 것으로 추정됩니다.​이번에는 Strings의 분석 결과를 살펴보겠습니다.Strings 분석 결과 모음앞서 SmartSniff 사용법 다운로드 Bintext로 문자열을 일차적으로 확인했지만 미처 확인 못하거나 새로운 툴을 이용한 교차 검증이라고 보시면 됩니다. 그림은 strings의 분석 결과 중 유의미하다고 보이는 문자열을 확인한 것 입니다.회사이름-Thawte Certification : Thawte Consulting은 X.509 인증서에 대한 인증 기관입니다.-Symantec Corporation : 미국의 보안 소프트웨어 회사입니다.-Microsoft​지명으로 보이는 문자열-Western Cape1 -Durbanville1-Redmond1​URL​위의 URL에 실제로 접속해 보겠습니다. (VIRUSTOAL에 넣어서 더블체크 하는 것도 필요)차례대로 접속해본 결과 자동으로 무엇인가가 다운로드 되는 URL이었습니다.​3. 정적분석 - PEviewPEview 분석 SmartSniff 사용법 다운로드 결과파일이 생성된 시간을 알 수 있습니다.​PEview 분석 결과16개의 디렉토리를 가지고 있음을 알 수 있습니다. 각 디렉토리에 대한 세부적인 설명은 이후 보고서에 넣어 놓을 예정이므로 참고해 주시기 바랍니다.​4. 동적분석 - 샘플실행​정적분석을 끝내고 이제 동적분석에 들어가보겠습니다.먼저 샘플을 실행한 후 어떤 변화가 있느지 확인을 해보겠습니다.샘플실행 결과샘플을 실행하니 Java Update 설치마법사가 실행되었습니다.특이한 점은 만약에 정말로 Java Update 관련 설치라고 해도 중간에 YTDownloader가 포함되어 있는게조금 수상했습니다. 그래서 세운 가설이 '아마 SmartSniff 사용법 다운로드 Java Update 파일로 위장한 후에 어떤 애드웨어를 다운받아 그게 다시 악성 행위를 하지 않을까?'였고, 이를 확인해보는 과정으로 진행했습니다.​샘플실행 결과마지막에 결국 설치 실패로 끝이 났지만 바탕화면에 낯선 파일이 생성됐습니다.낯선 파일이 생성인터넷에 해당 파일의 이름을 검색해본 결과 'YTDownloader is the fastest web app to download Youtube videos for free. Easily Convert youtube videos to mp3 and mp4 and save them to your PC, Mobile, ...'근데 실행을 해봤지만 SmartSniff 사용법 다운로드 아무것도 변화가 일어나지는 않았습니다.​5. 동적분석 - CurrPorts​네트워크 행위를 하는 악성코드 샘플을 선정하여 진행중이지만 확실하게 네트워크 행위를 하는지 확인해보기 위해 CurrPorts를 사용하여 동적 분석을 수행했습니다.CurrPorts 분석 결과결과를 보면 빨간 박스친 부분에서 Staus가 Established 즉, 연결이 성립됨을 확인할 수 있었습니다.이 결과를 통해 해당 샘플을 네트워크 행위를 한다고 결론 내릴 수 있습니다.​6. 동적분석 - AutorunsAutoruns 분석 결과아까 만들어진 낯선 파일(YTDownloader)을 실행해 보니, 윈도우 실행과 동시에 자동으로 실행될 것임을 SmartSniff 사용법 다운로드 추정할 수 있었습니다. 인터넷에 검색해서 알아봤듯이 YTDownloader가 단순히 동영상을 받고 변환해주는 프로그램이라면 굳이 윈도우 실행과 동시에 자동으로 실행될 필요가 있을까라고 생각해서 이는 악성 행위를 하려고 자동으로 실행되지 않을까 하는 의심을 가지게 되었습니다.​7. 동적분석 - Process Explorer​어떤식으로 활동하는지 좀 더 자세히 알아보기 위해 Process Explorer를 사용하여 계층 구조를 시각적으로 확인해 봤습니다.Process Explorer 분석 결과결과를 보시면, 악성코드 샘플 파일을 실행하자 마자 첫번째 빨간 박스에서 보듯 실행하지도 않은ytd.exe SmartSniff 사용법 다운로드 파일이 자동으로 실행되었고 이는 YTDownloader를 설치하기 위해 실행됐을거라고 추정해 볼 수 있습니다.다음으로 ytd.exe 실행과정에서 net.exe와 net1.exe가 실행이 됨을 확인할 수 있는데,net.exe의 경우 Windows 운영 체제에서 네트워크 리소스를 관리하는 데 사용되는 명령줄 도구이지만net1.exe의 경우 어떤 행위를 하는지 알 수 없었습니다. 아마도 이 실행파일이 악성행위를 하지 않을까 추정합니다.​내용이 길어져서 이번 포스팅은 여기서 마무리 하고 SmartSniff를 이용한 동적분석과 Snort 룰 시그니처를 만들고 검증하는 과정은 다음 포스팅에서 이어서 진행하겠습니다.