악성코드 기초 동적분석 ( Lab07_01 / SysAnalyzer )

이전에 사용하였던 Process Explorer, Regshot, Process Monitor, Wireshark를 하나로 통합한 기능을 하는 SysAnalyzer를 사용한다

SysAnalyzer 

① Use SniffHit   

네트워크 통신 감시

② Start Browser as Inject Target

③ Use API Logger

사용하는 API함수를 알 수 있다

④ Use Directory Watcher

접근하는 디렉터리들을 알 수 있다

⑤ Full Packet Capture

모든 패킷 캡쳐 

악성파일을 실행시키기 전에 항상 스냅샷을 찍어둔 다음 실행시킨다

"start" 버튼을 누르고 실행결과를 살펴보자

아래 그림들은 SysAnalyzer을 통해 악성코드를 실행시킨 뒤 시스템상에서 발생하는 모든 상황을 보여준다

[ Running Process ]

lab07_01.exe 파일이 실행되고 있고, 아직 종료되지 않았다

[ Open Ports]

Lab07.01.exe을 실행시킨 결과로써 포트 2개가 오픈되었다

[ Reg Monitor ]

값이 변경된 레지스트리가 무엇인지 알 수 있다. 직접 확인해보자

=> cmd - regedit

레지스트리에 Malservice key가 존재한다

[ API Log ]

API ( Application Programming Interface ) 들이 사용되어진 기록들이 남아있다

RegOpenKeyExA() ( 원격에서 레지스트리 값을 사용하려는 시도 ) 및 CreateMutex()를 통해서 중복실행을 방지하려는 등 API함수들이 사용된 기록이 보인다

추가적으로 InternetConnectA() 함수로 인터넷에 연결하는 등의 모습을 확인할 수 있다

[ Directory Watch Data ]

악성파일이 사용한 디렉터리 경로들을 볼 수 있다

인터넷을 열기위해서 IEUSER디렉터리에 값들을 생성 및 변경 등을 하였다

[ Mutex ]

mutex는 프로세스가 실행중에 있을 때 다른 프로세스의 접근을 막기위해서 설정하는 함수이다

악성파일에서 mutex를 사용했고, mutex 값은 HGL345이다

[ 실행 결과 ]

analysis파일이 생성되고 http통신이나 api사용 기록, directory 및 레지스트리 접근 기록등 악성파일의 실행결과가 저장된다