악성코드 기초

1. 악성코드

악의적인 동작을 실시하는 코드가 들어간 실행 파일 / 프로그램

악성코드 API.xlsx

0.03MB

1. 악성코드 배포 목적

개인 및 기업 정보를 탈취 및 수집하기 위한 목적으로 배포함 시스템 , 디스크 , 파일 파괴 삭제, 조작 랜섬웨어와 같은 금전 요구 광고 노출 및 홍보 수단

3 .악성코드 분석 유형

3.1 패킹 여부 확인

실행 파일이 패커에 의해서 압축되어 있는지 프로덱터에 의해서 보호되어 있는지 확인하는 단계 분석 도구로는 exeinfope ,pEid, peview ,ollydbg importrec, loadpe

3.2 기초 정적 분석

악성코드 파일을 실행하지 않고 간략하게 분석하는 단계 악성코드 분석시 가장 먼저 실시하는 단계 분석 내용으로는 pe파일 관련 내용 dll 및 api 목록 확인 , 문자열 분석 도구로는 exeinfope ,pEid, peview, Dependency walker, strings, bintext, PEstudio, 바이러스토탈

3.3 기초 동적 분석

악성코드 파일을 실행하고 간략하게 분석하는 단계 악성코드 파일을 분석하기 위한 가상 환경을 준비하고 실행 이전 스냅샷을 생성한다. 악성코드 파일을 실행하기 이전과 이후 상태를 비교하는 것이 목적이다. 분석도구로는 procexp ,procmon , regshot, SysAnalyzer

3.4 고급 정적 분석

기초 분석 내용을 기반으로 실시하는 상세 정적 분석 단계 어셈블리어와 윈도우 api 기반으로 악성코드 동적 흐름을 리버싱한다. 분석도구 IDA

3.5 고급 동적 분석

기초 분석 내용과 고급 정적 분석 내용을 기반으로 실시하는 상세 동적 분석 단계 분석도구로는 ollydbg

[자동화 분석]

사람이 분석하는 것이 아니라 자동화 분석 도구를 이용한 분석 방법 분석도구로는 쿠쿠샌드 박스 하이브리드 애널리시스

1. 악성코드 유형

백도어

시스템에서 실행 / 설치하면 공격자가 원격에서 접근이 가능하다록 제작된 악성 코드

공격자는 백도어를 통하여 시스템을 접근하면 정보탈취 데이터 삭제 명령어 실행 2차 악성코드 실행

다운로더

실행되면 특정 사이트로부터 파일을 다운로드 한 이후 특정경로에 복사 및 실행을 실시하도록 제작된 악성코드

드롭퍼

드롭퍼 리소스 영역에 저장된 데이터를 이용하여 새로운 파일을 생성하는 악성코드

즉 파일 안에 또 다른 파일이 있는 악성코드

바이러스 - 프로그램을 통하여 감염되는 악성코드

바이러스가 실행되면 파일의 pe 구조를 변경하거나 코드를 삽입 및 조작한다

그렇기 때문에 파일이 실행되면 악의적인 동작을 실시할 수 있다

디스크 mbr vbr 영역을 손상시키는 경우도 있다.

웜

시스템 서비스 취약점을 이용하여 네트워크를 통하여 바이러스가 감염되게 하는 악성코드

트라이 목마

공격자가 의도하는것을 숨긴 다음 해당파일이 실행되면 숨겨져 있던 악의적인 동작이 실시되는 악성코드

파일리스

실행 파일이 없는 악성코드 악의적인 동작을 실시하는 스크립트를 문서 파일에 삽입하여 배포함

봇넷

cnc 서버로부터 명령어를 수신하여 동작하는 시스템

루트킷

악성코드 탐지를 방해하기 위해서 악성 코드 존재를 숨기는 악성코드 이다.

스파이 웨어

사용자 동의 없이 설치되어 시스템 및 사용자 정보를 수집하고 전송하는 악성코드

애드웨어

광고 및 홍보 목적으로 배포되는 악성코드 이며 보통 프로그램 설치 때 같이 설치되는 경우가 많다.

스케어웨어

바이러스에 감염된 것처럼 조작하여 바이러스 백신 프로그램을 설치 유도하는 악성코드

즉 유료버전 백신 프로그램 설치를 유도하는 동작을 실시

기본적 dll

1. KERNAL32.DLL

• 메모리 파일 하드웨어 접근 및 조작과 관련된 기능을 제공한다.

1. ADVAPI32.DLL

• 서비스 관리자 레지스트리 키 값 설정과 관련된 기능을 제공한다

1. USER32.DLL

• 버튼 스크롤바 사용자 행위, 동작 제어와 같은 인터페이스 기능을 제공한다.

1. GDI32.DLL

• 그랙픽 관련 기능을 제공한다.

1. WSOCK32.DLL , WS2_32.DLL

• 네트워크 연결 및 통신과 관련된 기능을 제공한다.

1. WININET.DLL

• FTP HTTP 연결 관련 기능을 제공한다.

1. NTDLL.DLL

• 윈도우 커널 인터페이스

• KERNEL32.DLL을 통해서 간접적으로 IMPORT되며 실행 파일은 직접 IMPORT 할수 없다.

• 기능을 숨기거나 프로세스를 조작하는 기능을 제공한다.