Without a Break

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? 파일이 패킹되어 있다면 언패킹하라 패킹되지 않은 파일로, Microsoft Visual C++로 컴파일되었음을 알 수 있다. 3) 이 프로그램은 언제 컴파일됐는가? 2019년 8월 30일 22시 26분 59초에 컴파일되었다. (UTC 기준) 4) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? 이 중 의심되는 몇가지를 분석해보면 다음과 같다. KERNEL32.dll 파일을 생성하고(CreateFile), 이동하며(MoveFile), 파일에 데이터를 쓴다(WriteFile). 디렉토리의..

1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? FSG로 패킹되어 있다. VMUnpacker를 사용해 언패킹을 해줬다. 언패킹한 파일을 확인해보니 Microsoft Visual C++에서 작성된 것을 확인할 수 있었다. 3) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? 언패킹한 파일을 VirusTotal로 열어준다. ole32.dll의 CoCreateInstance는 기본 초기화된 instance 생성한다. 4) 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가? URL이 있는 것을 보아 해당 ..

1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성 코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? EP Section을 보니 UPX로 패킹되었음을 알 수 있다. upx를 언패킹하고, 다시 확인해보면 microsoft visual C++로 컴파일 되었음을 알 수 있다. 3) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? ADVAPI32.dll의 CreateService는 서비스 오브젝트를 작성하여 지정된 서비스 제어 관리자의 데이터베이스에 추가하는 함수이다. 또, WINNET.dll에 InternetOpen 함수가 있는데, 이는 URL을 통해 데이터를 받아오는 함수이다. 이를 보..

1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성 코드로 판별된다. 2) 이 파일의 컴파일 시점은? Lab01-01.exe의 컴파일 시점은 2010년 12월 19일 16시 16분 19초이다. (UTC 기준) Lab01-01.dll의 컴파일 시점은 2010년 12월 19일 16시 16분 38초이다. (UTC 기준) 이를 보아 exe를 만들자마자 컴파일이 됐음을 알 수 있다. 3) 패킹이나 난독화의 흔적이 있는가? 이유는? 패킹이나 난독화의 흔적은 PEiD에서 확인할 수 있다. 왼쪽이 Lab01-01.exe, 오른쪽이 Lab01-01.dll이다. 둘 다 Microsoft Visual C++로 컴파일 된 것을 보아 패킹이나 난독화의 흔적은 없다. 4) ..