Malware (Sample) Static/Dynamic Analysis (no reversing)

1. Malware (Sample) Static/Dynamic Analysis (no reversing) Wollf Malware - OnesCoreSystem Team -

2. 1)목적,방법,환경및 기타 목적: 악성코드가 시스템에 미치는 영향 및 동작을 분석하기 위한 자료 수집 방법: 기준환경을 구성하여 리버싱 엔지니어링을 제외한 커맨드및분석툴을 활용하여 악성코드가 미치는 영향 및 동작을 분석 환경: Win32 악성코드이므로 Windows 환경필요 도구: Sysinternals, PEID, MD5CHECKER

3. 2)환경 기준 구성 및 분석 • 악성코드 샘플을 분석하기 위해 분석 환경 및 환경 기준을 구성할 필요가 있다. • 분석 환경은 악성코드의 동작을 분석하기 쉽게 만들어 놓은 환경으로 컴퓨터 프로그램 및 네트워크 환경을 세팅 하는 것을 뜻한다. (크게 분석 환경을 만들지 않음) • 환경 기준 구성이란 현재의 컴퓨터 상태를 기록하는 행동이다. 3)기준구성 • 기준 구성을 하기 전 최대한 통제된 환경을 구성할 필요가 있다. • 배치파일(일련의 명령어), 네트워크 모니터링 툴, 레지스트리, MD5체크를 이용해 상태를 기록.

4. 4)분석 자료 배치파일(script.bat) : 분석 절차 안내서를 참고하여 일련의 명령어를 실행시켜 텍스트 파일로 저장 (KISA – 침해사고 분석 절차 안내서 참조) 네트워크 모니터링 툴(TcpView.exe) : 악성 코드의 네트워킹을 감시(실시간) 레지스트리 및 기타(Procmon.exe) : 악성 코드의 동작을 감시 MD5(Md5Checker.exe) : C:\windows.*.* 의 무결성 검사

5. Malware.exe 악성코드 샘플 Tcp View

6. TcpView.exe netstat

7. 실행전(Script.bat) 실행후(Script.bat) New Connection IP/DOMAIN

8. Where is 207.70.175.42 ? MD5

9. Md5Checker.exe /WINDOWS

10. AUTORUNS

11. Autoruns.exe DLLS, ETC

12. 분석 자료.. 계속해서..

13. What DLL’s Included ( listdlls.exe ) ProcmonImage Script.bat

14. TO DO MORE DYNAMIC ANALYSIS Revers Engineering begins soon References KISA – 침해사고 분석 절차 안내서 KISA – 관리자를 위한 Malware 분석방법 악성코드와 멀웨어포렌식(Malware Forensics)