악성코드 기초 동적분석 ( Registry Modify )

1. 기초 동적분석이란?

· 프로그램을 직접 실행하며 분석

· 악성코드 실행 전후 상태를 조사 및 분석하여 프로그램의 기능을 파악

2. 기초 동적분석 도구

1> 프로세스 모니터 ( Process Monitor )

특정 레지스트리, 파일 시스템, 네트워크, 프로세스, 스레드 행위들을 모니터링

프로세스 모니터를 통해서 Lab03-01.exe 악성코드 실습파일이 행위들을 찾았다

RegOpenKey & RegSetValue => 레지스트리의 값을 변경하였다

2> 프로세스 익스플로러 ( Process Explorer )

프로세스 스레드, 권한, 네트워크, 메모리 등 다양한 정보 확인 가능

프로세스 내부에서 호출하는 DLL내용 검색 가능

시스템에서 실행 중인 프로세스들을 확인할 수 있다

해당 파일이 사용하는 문자열을 검색할 수도 있다

3> RegShot

악성코드 실행 전후의 레지스트리의 스냅샷을 찍고 비교

· RegShot-Unicode    : 한글판 

· RegShot-ANSI        : 영문판

악성코드 실행파일을 실행하기 전의 상태를 스냅샷을 찍는다 - 1st shot

악성코드 실행파일을 실행시킨 후 스냅샷을 찍는다 - 2nd shot

compare => 실행 전 후의 레지스트리 상태를 비교한다

* 오류가 자주 발생하니까 Output path는 바탕화면으로 설정합시다 !!

4> Wireshark

· 호스트를 지나가는 패킷들을 캡쳐하여 분석하는 네트워크 분석 프로그램

[ RegShot & compare 결과 ] 

악성코드 실행 전 후의 차이를 볼 수 있다

레지스트리에 값이 추가된 부분이 있음을 확인할 수 있고, 직접 확인해보자

cmd - regedit ( *레지스트리 값을 수정할 수 있는 프로그램 )

경로 : HKLM\SOFTWARE\microsoft\windows\CurrentVersion\run\VideoDriver

해당 레지스트리 값에는 C:\WINDOWS\system32\vmx32to64.exe파일이 존재한다

HKLM\SOFTWARE\microsoft\windows\CurrentVersion\run 는 윈도우 실행시 자동으로 실행되는 값들을 저장하는 공간

현재 레지스트리에  vmx32to64.exe가 존재하기 때문에 윈도우 실행시 해당 파일은 자동으로 실행된다

실제 vmx32to64.exe파일을 찾아보자

해당 파일이 어떤 파일인지 해시값으로 조사해보자 ( WinMD5 )

* Lab03-01.exe Hash

* vmx32to64.exe Hash

Lab03-01.exe파일과 vmx32to64.exe 파일은 서로 동일한 해시값을 가진다

=> 따라서 두 파일은 같은 파일이다

즉, Lab03-01.exe파일은 자기 자신을 윈도우 실행시마다 자동으로 실행시키기 위해서 레지스트리값을 변경했다