1 / 14

Malware (Sample) Static/Dynamic Analysis (no reversing)

Malware (Sample) Static/Dynamic Analysis (no reversing). Wollf Malware. - OnesCore System Team -. 1) 목적 , 방법 , 환경 및 기타. 목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집. 방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석. 환경 : Win32 악성코드이므로 Windows 환경필요.

fergus
Télécharger la présentation

Malware (Sample) Static/Dynamic Analysis (no reversing)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Malware (Sample) Static/Dynamic Analysis (no reversing) Wollf Malware - OnesCoreSystem Team -

  2. 1)목적,방법,환경및 기타 목적: 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집 방법: 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석 환경: Win32 악성코드이므로 Windows 환경필요 도구: Sysinternals, PEID, MD5CHECKER

  3. 2)환경 기준 구성 및 분석 • 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다. • 분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다. (크게 분석 환경을 만들지 않음) • 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다. 3)기준구성 • 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다. • 배치파일(일련의 명령어), 네트워크 모니터링 툴, 레지스트리, MD5체크를 이용해 상태를 기록.

  4. 4)분석 자료 배치파일(script.bat) : 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜 텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조) 네트워크 모니터링 툴(TcpView.exe) : 악성 코드의 네트워킹을 감시(실시간) 레지스트리 및 기타(Procmon.exe) : 악성 코드의 동작을 감시 MD5(Md5Checker.exe) : C:\windows.*.* 의 무결성 검사

  5. Malware.exe 악성코드 샘플 Tcp View

  6. TcpView.exe netstat

  7. 실행전(Script.bat) 실행후(Script.bat) New Connection IP/DOMAIN

  8. Where is 207.70.175.42 ? MD5

  9. Md5Checker.exe /WINDOWS

  10. AUTORUNS

  11. Autoruns.exe DLLS, ETC

  12. 분석 자료.. 계속해서..

  13. What DLL’s Included ( listdlls.exe ) ProcmonImage Script.bat

  14. TO DO MORE DYNAMIC ANALYSIS Revers Engineering begins soon References KISA – 침해사고 분석 절차 안내서 KISA – 관리자를 위한 Malware 분석방법 악성코드와 멀웨어포렌식(Malware Forensics)

More Related