Autoruns3 21. 악성코드 샘플 동적분석 • Snort (2) 저번 분석에 이어서 동적분석과 Snort를 통한 탐지 패턴 생성을 진행할 것이다. 악성샘플 정보 – feb document 10998 해당 샘플은 ".NET.. 2024. 4. 8. 16. 악성코드 샘플 분석(2) : 하 이번 글에서는 저번 정적분석 글에 이어서 동적분석을 진행할 것이다. 동적분석 - Process Explorer 위의 사진은 dgrep.exe를 실행 후 순간적으로 일어난 프로세스를 캡처한 것이다. 'conhost.exe', 'cmd.exe' 프로세스는 cmd를 실행시키는 행위 'PING.EXE' 프로세스는 TCP/IP Ping 명령으로 네트워크 관련 행위를 하는 것으로 추정이 가능하다. 후속 동적분석에서 위의 3가지 프로세스를 유심히 살펴볼 필요성이 있다. 실행 후 시간이 어느 정도 지난 후의 프로세스 캡처본이다. 먼저 dgrep.exe 원본 파일이 삭제된 것으로 보아 트로이목마 성격을 가지고 있음을 알 수 있으며, 'rundll32.exe'이라는 파일을 실행시키면서 'wiseman.exe'이라는 프로세.. 2024. 2. 19. 14. 악성코드 샘플 분석(1) 악성코드 분석은 사실상 정답이 없는 문제를 푸는 것과 유사하다고 표현한다. 즉, 최대한 많은 분석들을 통해서 직접 쌓은 경험을 기반으로 답을 도출해 나가는 과정이다. 또한 악성코드는 분석하는 환경에 따라서도 얼마든지 결과가 달라질 수 있으며, 악성코드 자체적으로 시간이 지남에 따라 활동의 변화가 생길 수 있다. Virustotal에서 누군가 과거에 분석한 결과와 본인이 직접 분석한 결과가 다르다고 해도 본인이 틀렸다고 생각할 이유는 없는 것이다. 이러한 이유로 악성코드가 어떻게 동작할지 자세하게 알 수 없기 때문에, 우리는 최대한 여러 가지 툴을 잘 활용하고 상세한 분석을 통해 결과를 만들어나가는 것이다. 이번 글에서는 "bton02setu.exe" 라는 샘플 파일을 분석해 볼 것이다. 먼저 파일의 속성.. 2024. 1. 28. 이전 1 다음
