[악성코드 분석 시작하기] 1장_악성코드 분석 소개

해당 도서의 1장_악성코드 분석 소개(29p-52p) 정리

---

악성코드란?

- 악의적 행위를 하는 코드 (ex. 실행 파일, 스크립트, 코드 등)

- 허락 없이 시스템에 침투한 후 이메일, 웹, USB 드라이브 등 통신 채널 통해 전파 가능

공격자: 악성코드 사용해 민감정보 탈취 or 감염된 시스템 감시 or 시스템 제어 권한 탈취

 

악성코드가 수행하는 악성 행위:

• 컴퓨터 연산 방해
• 민감 정보 탈취
• 표적 시스템에 무단 접근
• 표적 감시
• 스팸 메일 전송
• DDoS 공격 참여
• 컴퓨터에 있는 파일 잠금 후 대가 요구 (-> 랜섬웨어)

 

악성 프로그램의 종류:

바이러스 & 웜	자가 복제&다른 컴퓨터로 확산하는 기능 가진 악성 코드. 바이러스 (Virus): 유저와의 상호작용 필요 웜 (Worm): 유저와의 상호작용 없이 퍼져나갈 수 있음
트로이 목마 (Trojan)	일반 프로그램으로 위장, 유저가 자신의 컴퓨터에 설치하도록 유도하는 악성코드. 설치 시 민감 데이터 훔치기, 공격자 서버에 파일 업로드, 웹캠 모니터링 등 악성 행위
백도어/원격 접속 트로이 목마 (RAT)	공격자가 침해한 컴퓨터에 원격 접속 or 명령어 실행할 수 있는 트로이 목마의 한 종류
애드웨어 (Adwoare)	유저에게 원치 않는 광고 노출하는 악성코드. 일반적으로 무료 다운로드 통해 배포, 시스템에 소프트웨어 설치하도록 강제함
봇넷 (Botnet)	동일한 악성코드에 감염된 컴퓨터 그룹으로 공격자가 통제하는 명령어 통제 서버에서 전송하는 지시를 대기. 공격자는 봇에게 DDoS 공격 or 스팸 메일 전송 등 악의적 행위 지시 가능
정보 스틸러	감염된 시스템에서 타이핑하는 키보드 입력 등의 민감 정보 훔치고자 디자인된 악성코드. Ex) 키로거(Key logger), 스파이웨어(Spyware), 스니퍼(Sniffer), 그래버(Grabber)
랜섬웨어 (Ransomeware)	유저를 컴퓨터 밖으로 쫓아내거나 파일을 암호화한 뒤 대가를 위해 시스템을 볼모로 잡는 악성코드.
루트킷 (Rootkit)	설치된 시스템에서 공격자에게 관리자 권한 제공하거나 자신의 존재 여부 or 다른 소프트웨어의 존재 여부 숨기는 악성코드.
다운로더 (Downloder) or 드로퍼 (Dropper)	추가 악성코드 컴포넌트 다운로드하거나 설치하도록 설계된 악성코드.

악성코드는 공격자의 동기에 따라 분류 가능.

Ex) 이익을 위해 악성코드 이용해 개인/기업 또는 독점 정보 훔침

→ 크라임웨어(crimeware) or 상용 악성코드(commodity malware)

첩보활동 목적으로 특정 기관/산업 대상으로 정보 훔치거나 인텔리전스 수집 위해 사용

→ 표적 or 첩보 악성코드

 

악성코드 분석

- 악성코드의 행위 연구하는 것.

- 목적: 악성코드의 동작 이해한 후 탐지하고 삭제하는 방법 파악

 

악성코드 분석하는 이유: 

• 악성코드의 특성&목적 파악하고자
• 시스템이 어떻게 침해됐는지와 그 영향 이해하고자
• 악성코드와 관련된 네트워크 식별자 파악하고자
• 파일명, 레지스트리 키와 같은 호스트 내부 식별자 추출하고자.
• 공격자의 의도&목적을 파악하고자.

 

악성코드 분석의 종류:

정적 분석 (static analysis)	악성코드 실행하지 않고 바이너리 분석하는 방법. 가장 쉽게 수행 가능, 의심 바이너리에서 메타데이터 추출 가능 필요한 모든 정보 파악하진 못하더라도 이후 어디를 집중적으로 분석해야 할지 파악 가능
동적 분석 (dynamic analysis)	격리된 환경에서 의심 바이너리 실행 후 그 행위를 모니터링하는 방법. 수행하기 쉽고 실행 동안의 바이너리 활동에 대한 인사이트 파악 가능 유용하지만 프로그램이 가진 모든 기능을 파악할 순 없음
코드 분석 (code anlaysis)	바이너리의 내부 동작 이해하기 위한 악성코드 분석에 초점을 둔 방법. 정적 코드 분석: 의심 바이너리 디스어셈블링 후 프로그램의 동작 이해하고자 코드 살펴봄 동적 코드 분석: 악성코드의 기능 이해하고자 의심 바이너리를 통제된 방법으로 디버깅
메모리 분석 (memory analysis)	포렌식 아티팩트를 위해 컴퓨터 메모리 분석하는 기법. 일반적인 포렌식 기술이지만 감염 후 악성코드 행위를 이해하는 데 도움을 줌 악성코드의 은닉 또는 회피 능력 파악하는 데에 유용.

 

 

랩(lab) 환경 설정

- 악의적인 프로그램 분석 위해서는 분석자의 시스템 or 운영 시스템 감염되지 않도록 안전&보안 고려된 랩 환경 필요.

 

악성코드 분석 시에는 윈도우 기반 가상머신에서 악성코드를 실행. 가상머신 이용하면 악성코드 분석 후 원상복구 가능하다는 장점 존재. 

 

안전한 랩 환경을 위한 주의사항:

• 가상화 SW는 최신 버전 유지
• 가상머신에 최신 운영체제 설치하고, 가상머신 내에는 민감정보 저장 X
• 악성코드가 외부 인터넷에 연결되는 걸 원치 않을 시 호스트 전용 네트워크 모드 사용 or 시뮬레이션 서비스 이용해 네트워크 트래픽을 랩 환경 내부로만 제한
• 물리 머신에 이후에 사용할 수도 있는 이동식 미디어 연결 X
• 윈도우 악성코드 분석 시에는 윈도우 대신 리눅스 or macOS X를 호스트 머신의 기본 운영 시스템으로 선택할 것을 권고

 

책에서는 우분투 리눅스 가상머신 & 윈도우 가상머신이 설치된 우분투 리눅스 물리 머신을 사용.

→ 동일한 네트워크에 할당됨, 호스트 전용 네트워크 모드 통해 악성코드가 인터넷에 접속하는 것을 막고 네트워크 트래픽은 격리된 랩 환경 내에서만 허용되도록 함.

 

이후 가상머신 랩 환경 설정 방법을 설명 → 이미 있으니까 PASS...

 

악성코드 샘플

랩 설치 완료 후에는 분석 수행 위한 악성코드 샙플 필요.

• Hybrid Analysis: https:/ww.ybrid-nalysis.om/
• KernelMode.info: http:/ww.ernelmode.nfo/omm/iewforum.hp?=6
• VirusBay: https:/eta.imsbay.o/
• Contagio malware cham: http:/ontagiodump.logspot.om/
• AVCaesar: https:/vcaesar.alware.u/
• Malwr: https:/alwr.om/
• VirusShare: https:/irusshare.om/
• theZoo: http:/hezoo.orirt.om/