Malware
Download
1 / 14

Malware (Sample) Static/Dynamic Analysis (no reversing) - PowerPoint PPT Presentation


  • 201 Views
  • Uploaded on
  • Presentation posted in: General

Malware (Sample) Static/Dynamic Analysis (no reversing). Wollf Malware. - OnesCore System Team -. 1) 목적 , 방법 , 환경 및 기타. 목적 : 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집. 방법 : 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및 분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석. 환경 : Win32 악성코드이므로 Windows 환경필요.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha

Download Presentation

Malware (Sample) Static/Dynamic Analysis (no reversing)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Malware (Sample) Static/Dynamic Analysis (no reversing)

Wollf Malware

- OnesCoreSystem Team -


1)목적,방법,환경및 기타

목적: 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집

방법: 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석

환경: Win32 악성코드이므로 Windows 환경필요

도구: Sysinternals, PEID, MD5CHECKER


2)환경 기준 구성 및 분석

  • 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다.

  • 분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다. (크게 분석 환경을 만들지 않음)

  • 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다.

3)기준구성

  • 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다.

  • 배치파일(일련의 명령어), 네트워크 모니터링 툴, 레지스트리, MD5체크를 이용해 상태를 기록.


4)분석 자료

배치파일(script.bat)

: 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜

텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조)

네트워크 모니터링 툴(TcpView.exe)

: 악성 코드의 네트워킹을 감시(실시간)

레지스트리 및 기타(Procmon.exe)

: 악성 코드의 동작을 감시

MD5(Md5Checker.exe)

: C:\windows.*.* 의 무결성 검사


Malware.exe

악성코드 샘플

Tcp View


TcpView.exe

netstat


실행전(Script.bat)

실행후(Script.bat)

New Connection

IP/DOMAIN


Where is 207.70.175.42 ?

MD5


Md5Checker.exe

/WINDOWS


AUTORUNS


Autoruns.exe

DLLS, ETC


분석 자료.. 계속해서..


What DLL’s Included ( listdlls.exe )

ProcmonImage

Script.bat


TO DO MORE DYNAMIC ANALYSIS

Revers Engineering begins soon

References

KISA – 침해사고 분석 절차 안내서

KISA – 관리자를 위한 Malware 분석방법

악성코드와 멀웨어포렌식(Malware Forensics)


ad
  • Login