Malware
This presentation is the property of its rightful owner.
Sponsored Links
1 / 14

Malware (Sample) Static/Dynamic Analysis (no reversing) PowerPoint PPT Presentation


  • 169 Views
  • Uploaded on
  • Presentation posted in: General

Malware (Sample) Static/Dynamic Analysis (no reversing). Wollf Malware. - OnesCore System Team -. 1) 목적 , 방법 , 환경 및 기타. 목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집. 방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석. 환경 : Win32 악성코드이므로 Windows 환경필요.

Download Presentation

Malware (Sample) Static/Dynamic Analysis (no reversing)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Malware sample static dynamic analysis no reversing

Malware (Sample) Static/Dynamic Analysis (no reversing)

Wollf Malware

- OnesCoreSystem Team -


Malware sample static dynamic analysis no reversing

1)목적,방법,환경및 기타

목적: 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집

방법: 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석

환경: Win32 악성코드이므로 Windows 환경필요

도구: Sysinternals, PEID, MD5CHECKER


Malware sample static dynamic analysis no reversing

2)환경 기준 구성 및 분석

  • 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다.

  • 분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다. (크게 분석 환경을 만들지 않음)

  • 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다.

3)기준구성

  • 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다.

  • 배치파일(일련의 명령어), 네트워크 모니터링 툴, 레지스트리, MD5체크를 이용해 상태를 기록.


Malware sample static dynamic analysis no reversing

4)분석 자료

배치파일(script.bat)

: 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜

텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조)

네트워크 모니터링 툴(TcpView.exe)

: 악성 코드의 네트워킹을 감시(실시간)

레지스트리 및 기타(Procmon.exe)

: 악성 코드의 동작을 감시

MD5(Md5Checker.exe)

: C:\windows.*.* 의 무결성 검사


Malware sample static dynamic analysis no reversing

Malware.exe

악성코드 샘플

Tcp View


Malware sample static dynamic analysis no reversing

TcpView.exe

netstat


Malware sample static dynamic analysis no reversing

실행전(Script.bat)

실행후(Script.bat)

New Connection

IP/DOMAIN


Malware sample static dynamic analysis no reversing

Where is 207.70.175.42 ?

MD5


Malware sample static dynamic analysis no reversing

Md5Checker.exe

/WINDOWS


Malware sample static dynamic analysis no reversing

AUTORUNS


Malware sample static dynamic analysis no reversing

Autoruns.exe

DLLS, ETC


Malware sample static dynamic analysis no reversing

분석 자료.. 계속해서..


Malware sample static dynamic analysis no reversing

What DLL’s Included ( listdlls.exe )

ProcmonImage

Script.bat


Malware sample static dynamic analysis no reversing

TO DO MORE DYNAMIC ANALYSIS

Revers Engineering begins soon

References

KISA – 침해사고 분석 절차 안내서

KISA – 관리자를 위한 Malware 분석방법

악성코드와 멀웨어포렌식(Malware Forensics)


  • Login