1. 테스트 환경
1.1. 비교군 테스트 환경
- 운영체제 : Windows XP x86 SP3
- RAM : 256 MB
- Malware : 없음
1.2. 실험군 테스트 환경
- 운영체제 : Windows XP x86 SP3
- RAM : 256 MB
- Malware : Bobax 감염
2. 악성코드 감염 이미지 분석
2.1. Responder 2.0을 통한 분석
2.1.1. 분석 과정
- vmem 이미지 분석 실행
- Summary 확인
- 의심 모듈/프로세스 상세 분석
- Digital DNA 분석
2.1.2. 메모리 이미지 분석 결과
| 비교군 | 실험군 | |
| 후킹된 SSDT 영역 | 0 | 0 |
| 후킹된 IDT 영역 | 0 | 0 |
| 숨겨진 드라이버 | 0 | 0 |
| 숨겨진 프로세스 | 0 | 0 |
| DDNA 최고 점수 | 0.0 | 91.85 (모듈 : _unnamed_module_main_exe) |
2.1.3. 비교군 Digital DNA
- explorer.exe
- 스레드 토큰 및 권한 조작(경고)
- vmtoolsd.exe
- 수동 문자열 생성
- 스레드 토큰 및 권한 조작(경고)
2.1.4. 실험군 Digital DNA
- malware.exe
- Code injection 수행
- 다른 프로세스에 데이터를 삽입하거나 씀
- 다른 프로세스에 스레드 생성
- 문자열 패킹
- 네트워크를 통한 파일 다운로드
- 모듈의 숨김화
- vmtooolsd.exe
- 네트워크를 통한 파일 다운로드
- 다른 모듈에 의한 후킹
- 모듈의 숨김화
- winlogon.exe
- 다른 모듈에 의한 후킹
- 모듈의 숨김화
2.1.5. 실험군 분석 결과
- 프로세스
- vmtoolsd.exe
- VMwareTray.exe
- wmiprvse.exe
- malware.exe
- vmtoolsd.exe
- svchost.exe
- explorer.exe
- winlogon
- wscntfy.exe
| 모듈 | 행위 |
| hook_ntdll.dll!ntopenfile_and_ntdll.dll!ntcreateprocessex_and_ntdll.dll!ntcreatefile_and_ntdll.dll!ntcreateprocess_0x7ff90000-0x7ff97000 | 프로세스 숨김, DLL injection |
2.2. Volatility 2.2를 통한 분석
2.2.1. 분석 과정
- vmem 이미지 정보 확인
- 프로세스 리스트 확인
- 원격 네트워크 연결 상태 확인
- 코드 인젝션 프로세스 확인
- 레지스트리 정보 확인
- 프로세스 파일로 추출
- 프로세스 파일 동적 분석
2.2.2. 메모리 이미지 분석 결과
- 비교군
- 메모리에 숨겨져 있거나 인젝션 되어있는 코드 / DLL
| 프로세스 | PID | 주소 |
| csrss.exe | 604 | 0x7f6f0000 |
| winlogon.exe | 628 | 0x14090000, 0x19170000, 0x1e780000, 0x54f30000, 0x2efe0000, 0x51b50000, 0x70120000, 0x7ac50000, 0x7a110000 |
- 실험군
- 프로세스를 파일로 추출
- malware.exe 추출하여 Virustotal 웹 페이지에서 확인 (48개 업체 중 37개 업체가 Virut 악성코드로 탐지)
- wmiprvse.exe 추출하여 Virustotal 웹 페이지에서 확인 (48개 업체 중 26개 업체가 Virut 악성코드로 탐지)
- 메모리에 숨겨져 있거나 인젝션 되어있는 코드 / DLL
- 프로세스를 파일로 추출
| 프로세스 | PID | 주소 |
| csrss.exe | 604 | 0x7f6f0000 |
| winlogon.exe | 628 | 0x163b0000, 0x3d030000, 0x37eb0000, 0x36c90000, 0x27950000, 0x214a0000, 0x507f0000, 0x4d700000, 0x56e60000, 0x7ff80000 |
| svchost.exe | 1044 | 0x7ff50000, 0x7ff90000 |
| explorer.exe | 1672 | 0x2e80000, 0x7ff90000 |
| VMwareTray.exe | 1820 | 0x7ff90000 |
| vmtoolsd.exe | 1828 | 0x7ff90000 |
| vmiprvse.exe | 1260 | 0x7ff90000 |
| malware.exe | 448 | 0x380000, 0x7ff90000 |
| wscntfy.exe | 2120 | 0x7ff90000 |
2.3. Redline을 통한 분석
2.3.1. 분석 과정
- vmem 이미지 분석 실행
- 프로세스 정보 확인
- 계층 프로세스 정보 확인
- 드라이버 모듈 확인
- 디바이스 트리 확인
- 후킹 정보 확인
- 타임라인 정보 확인
2.3.2. 메모리 이미지 분석 결과
- 메모리 섹션, 포트, 드라이버 모듈, 디바이스 트리 정보
- 후킹 요약
| 비교군 | 실험군 | |
| 후킹된 SSDT 영역 | 0 | 0 |
| 후킹된 IDT 영역 | 0 | 0 |
| 후킹된 IRP 영역 | 285 | 290 |
| 신뢰되지 않은 후킹 영역 | 18 | 23 |
2.4. 동적 분석
2.4.1. 분석 과정
- Anubis 사이트에 Bobox 샘플 업로드
- 분석 결과 확인
- 메모리 이미지 분석과의 비교
2.4.2. Anubis 분석 사이트 악성코드
- 테스트 악성코드
- 2009년 발견된 Bobox 악성코드
- 분석 결과
| 기술 | 위험도 |
| 자동 시작 기능 | 보통 |
| IE 보안 설정 변경 | 보통 |
| Windows 시스템 디렉토리에 파일 생성 | 보통 |
| 이메일 전송 | 높음 |
| 파일 수정 및 파괴 | 높음 |
| 프로세스 생성 | 낮음 |
| 레지스트리 활동 수행 | 낮음 |
'Information Security > Malware Analysis' 카테고리의 다른 글
| Zeus 악성코드 감염 이미지 분석 (0) | 2023.03.19 |
|---|---|
| 악성코드에 사용되는 Windows 레지스트리 분석 항목 (0) | 2023.03.19 |