Virusshare를 이용하여 샘플 수집을 하였습니다.
0. Wireshrk 행위 확인
Wireshark에서 악성사이트에서 3-way handshake가 일어났습니다.
Get 메소드를 이용하여 Yandex-ack,Yandex-exe,Yandexpacksetup.exe 를 다운합니다.
1. 기초분석.
Virustotal에서 악성코드로 탐지함.
AhnLab에서는 탐지를 못함.
파일의 정보 ; exe
2. 정적분석.
PE-view), 이 프로그램은 윈도우 32에서만 실행되어야 함./컴파일 시기 : 2016.04.16.
PE-view,Exeinfo PE) virtual size와 size of raw data 차이가 8로, 언패킹되어 있음.
InnoExtractor) 악성샘플의 내부 내역.
3. 동적분석.
3-1.모니터링
설치과정이 있다.
설치 시, 크롬 확장프로그램에 추가된다.
Yandex라는 프로그램이 설치 되었다.
어도비라는 러시아어로 된 프로그램이 실행됨.
시작프로그램에 2가지 프로그램이 등록됨.
바탕화면에 Yandex가 설치 됨.
크롬에 즐겨찾기 추가 됨.
3-2.Process monitor
YandexPackSetup.exe와 af~(악성코드 수집 샘플 본이름),BrowserManager이 포착됨.
3-3.Autoruns
Run키에 파일이 등록됨 - window os 시작시 자동 실행되는 프로그램.
Task Scheduler 하위에 등록됨 - window 실행시 자동 실행.
3-4. Curports
현재 두곳에 TCP가 열려 있음.
3-5. Process Explorer
Browser(Yandex).exe, Browsermanager.exe,Serchdapp64.exe 포착.
3-6. SmartSniff(수정중).
보완사항.
wireshark에서 통신한 곳의 ip가 악성인지 파악(virustotal이용)
기초 분석 보완( 어떻게 샘플을 수집했는지 등)
* 이번 분석을 하면서 네트워크의 통신 과정에 대해서 다시 복습하였고, 분석툴 사용방법을 다시 복습할 수 있었다.
'보안' 카테고리의 다른 글
| [침해대응&CERT] 3. 구글링(20.09.26.) (0) | 2021.06.09 |
|---|---|
| [악성코드분석] 네트워크 행위를 하는 악성코드 분석 최종. (0) | 2021.06.09 |
| [악성코드분석] 네트워크 행위를 하는 악성코드 샘플 수집-1(와이어샤크활용) (0) | 2021.06.09 |
| [악성코드분석] TCP 3way handshake (0) | 2021.06.09 |
| [악성코드분석] WireShark를 이용한 패킷 분석-1_20.07.15 (0) | 2021.06.09 |
댓글