[4] 네트워크 행위 분석
1. TCP View
현재 실행 중인 프로세스의 네트워크 통신상태와 패킷 송,수신량도 확인할 수 있다.
TcpView 컬럼은 다음과 같다.
TCPView 실행 후, 임의의 IP 123.123.123.123으로 접속을 시도했다.
검색을 통해 123.123.123.123과 통신을 시도하는 이벤트를 확인할 수 있다.
동적분석 시, 가상환경에서 악성코드를 실행한 후, TCPView를 이용하여 악성코드의 네트워크 통신 행위를 실시간으로 확인할 수 있고, 악성코드의 C&C서버, 통신지 등을 찾아낼 수 있다.
2. Fiddler
- 컴퓨터와 웹 서버 또는 서버 간의 HTTP 및 HHTPS 트래픽을 기록, 검사 및 변경하는 데 사용되는 디버깅 프록시 서버 도구
- 악성코드의 네트워크 통신 뿐만 아니라 프로세스별 네트워크 통신 및 request, response 값도 확인 가능
- 클라이언트에서 서버로 요청한 내역과 결과의 모든 데이터를 확인할 수 있으며, 주로 트래픽 조작, 기능확장, 분석, 모니터링 등에 유용하게 쓰인다.
login이 필요하다.
본인 이메일과 기본 정보를 기입하면 로그인을 할 수 있다.
로그인에 성공하면 빠르게 튜토리얼을 볼 수 있다.
단, 현재는 무료 체험판이고 계속 사용하려면 구독을 해야 한다..
[5] 환경 분석
환경 분석: 악성코드 실행 전/후에 달라진 OS 환경을 분석하는 단계를 의미하며 시작 프로그램, 서비스, 작업 스케줄러, 로그 등의 변화를 분석하여 악성코드 행위를 파악할 수 있다.
대표적인 프로그램 : Autoruns, REGA 등등
1. Autoruns
- Autoruns Windows Dysinternals에서 제작한 도구로 윈도우 운영체제가 부팅 후 자동으로 시작되는 서비스 또는 프로그램 등을 모니터링 할 수 있는 프로그램
- 시작 프로그램, 브라우저 도우미 개체, 윈도우 탐색기 쉘 확정 처리 기능 추가, 레지스트리 및 숨긴 영역에 저장된 이미지 확인 등의 기능이 존재함
- microsoft 홈페이지에서 다운로드 가능
- 악성코드는 대부분 악의적인 활동을 지속적으로 수행하기 위하여 작업 스케줄러, 서비스, 시작 레지스트리 등 에 등록하는 행위를 수행함
- Autoruns는 이러한 활동들을 한곳에 보여주기 때문에 동적분석 시, Autoruns를 활용하면 악성코드의 행위를 파악하는 데 도움이 됨
- Virustotal 결과를 컬럼으로 보여주는 기능도 포함되어 있어서 악성코드를 찾기에 수월함.
Autoruns 실행 후 , 상단 탭에서 Everything 탭으로 들어갔다.
이 탭은 윈도우 부팅 후 자동으로 실행되는 모든 프로세스와 파일의 목록을 보여준다.
Logon, Explorer, Network Providers 등 다양한 탭이 존재한다.
Autoruns는 기본적으로 Microsoft Windows와 관련된 정상적인 정보도 보여줘서 분석에 어려움이 있을 수 있음
Options -> Hide Microsoft Entries 체크하면 윈도우 관련 정상 정보를 숨겨줌
또한 Filter 기능을 이용하여 찾고자 하는 프로그램 검색 가능
[6] 레지스트리 분석
레지스트리: 운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스
레지스트리 분석: 악성코드 실행 전/후 레지스트리 변화를 확인하고 분석하여 악성 행위를 확인 가
[악성코드가 주로 사용하는 레지스트리 항목]
1. Regshot
- 레지스트리 비교 유틸리티, 오픈소스 도구
저장방식과 결과 저장 경로를 지정한다.
가상머신 환경에서 악성코드 실행하기 전 상태를 첫번째 샷을 통해 스냅샷을 찍는다.
하단 kets,Values,Time 값이 올라가다가 끝나면 멈추고 두번쨰 샷을 찍을 수 있다.
두번쨰 샷은 악성코드 실행 이후 레지스트리 환경을 찍는다.
나는 현재 가상머신이 돌아가지 않는 상황이라 정상 두 샷 모두 정상 환경을 찍을 수밖에 없었다.
두번째 샷이 끝났는데 compare 버튼이 활성화되지 않았다..