[악성코드 분석 시작하기] 2장_정적 분석

해당 도서의 2장_정적 분석(53p-103p) 정리

 

---

정적분석(Static analysis)이란?

- 의심스러운 파일을 실행하지 않고 분석하는 기법

- 의심스러운 바이너리에서 유용한 정보 추출해 어떻게 분류/분석할지와 이후 분석의 초점 어디에 둘지 결정하기 위한 초기 분석 방법

 

해당 장에서는 파일에 대한 다양한 정보를 발견할 수 있는 여러 기법을 설명함.

모든 방법을 따를 필요는 없으며, 순서를 지킬 필요도 없다.

 

---

1. 파일 유형 파악

분석할 때 의심스러운 바이너리의 파일 유형을 구분하는 것은 악성코드의 목표 운영 시스템과 아키텍처 식별에 도움이 된다. 

공격자는 유저가 해당 파일을 실행하도록 하기 위해 파일 확장자를 수정하거나 외형을 바꿈.

→ 파일 확장자 대신 파일 시그니처(File signature)를 이용해 파일 유형을 구분할 수 있다. 

*파일 시그니처: 파일 헤더에 작성되는 바이트의 독특한 배열 순서

 

1-1. 수작업을 통한 파일 유형 식별

헥사 편집기(hex editor)로 파일을 열어 파일 시그니처를 찾을 수 있다.

*헥사 편집기: 파일의 각 바이트를 관찰할 수 있는 도구. 파일 분석에 도움을 주는 여러 기능을 제공 (ex. HxD)

 

리눅스에서 xxd 명령어를 사용한 화면. 위와 같이 헥사 덤프를 생성함

리눅스에서 파일 시그니처를 찾고자 한다면 xxd 명령어를 사용할 수 있다.

 

1-2. 도구를 이용한 파일 유형 식별

리눅스 시스템에서는 file 유틸리티를 이용해 파일을 식별할 수 있음.

file 명령어를 두 개의 다른 파일에 실행한 예시.

첫 번째 파일(mini)에 확장자가 없음에도 32비트 실행 파일(PE32)라는 것을 보여줌.

두 번째 파일(notepad.exe)은 64비트(PE32+)라는 사실을 보여줌.

 

윈도우에서는 익스플로러 스위트에 포함된 CFF Explorer를 이용해 파일 유형을 구분할 수 있음.

파일 유형을 구분하는 것에만 제한되지 않고 실행 파일(32비트와 64비트)을 조사하거나 PE 내부 구조 검사하고 필드 수정하거나 리소스 추출 가능. 

 

1-3. 파이썬을 이용한 파일 유형 구분

파이썬에서 python-magic 모듈을 이용해 파일 유형을 구분할 수 있음.

윈도우에 python-magic 모듈 설치하려면 http://github.com/ahupp/python-magic에 설명된 절차 따르면 된다. 

 

python-magic 설치 시, 스크립트에 포함된 위 명령어 이용해 파일 유형 구분 가능

 

만약 워드 문서처럼 보이기 위해 확장자를 .exe에서 .doc.exe로 변경한 파일의 경우,

'윈도우 폴더 보기 옵션'에서 기본적으로 활성화된 '알려진 파일 유형의 확장자 숨기기'를 악용함.

→ CFF Explorer에서 파일을 열면 위와 같이 해당 파일이 32비트 실행 파일도, 워드 파일도 아니란 사실이 드러남.

 

2. 악성코드 식별

식별(Fingerprinting)하기: 의심스러운 바이너리의 내용을 바탕으로 암호 해시 값을 생성하는 활동을 포함.

MD5, SHA1, SHA256 등의 암호 해시 알고리즘은 악성코드 샘플의 파일 해시를 생성할 때 사실상 표준으로 생각됨. 

 

파일명(위조 가능) 기준으로 악성코드 샘플 식별하는 대신, 파일 내용에 기반해 생성된 암호 해시(유일한 식별자)로 파일을 구분 가능

악성코드 샘플의 암호 해시는 새롭게 드롭/복사된 샘플이 원본 샘플과 동일한지 여부 식별 가능

파일 해시는 악성코드 샘플이 온라인 또는 다중 백신 스캐닝 서비스의 데이터베이스를 검색해 이전에 탐지된 적 있는지를 판단할 때 사용

 

2-1. 도구를 이용한 암호 해시 생성

리눅스에서는 md5sum, sha256sum, sha1sum 도구를 이용해 파일 해시 생성 가능.

리눅스에서의 파일 해시 생성

 

윈도우용 파일 해시 생성 도구는 온라인에서 다양하게 발견 가능.

 

 

2-2. 파이썬에서 암호 해시 파악

파이썬에서는 hashlib 모듈을 사용해 파일 해시를 생성할 수 있다.

 

 

 

3. 다중 백신 스캐닝

의심스러운 바이너리를 다중 백신 스캐너로 스캐닝하면 의심스러운 파일에 악성코드 시그니처가 존재하는지 확인 가능

특정 파일의 시그니처 이름 통해 파일과 그 기능에 대한 추가 정보 얻을 수 있음

 

3-1. 바이러스토털을 이용한 의심 바이너리 스캐닝

바이러스토털: 웹 기반 악성코드 스캐닝 서비스. 파일 업로드하면 다양한 백신 스캐너로 스캐닝하고 결과를 보여줌

바이러스토털 데이터 집합을 기반으로 구축한 바이러스토털 그래프(등록한 파일과 도메인, IP 주소, URL과 같은 관련 지표 사이의 관계 시각화 가능) 기능도 제공함.

 

악성코드 바이너리에 대해 탐지한 이름을 보여주며

67개 백신 엔진으로 바이너리를 스캔했음을 보여줌. 

 

3-2. 바이러스토털 공개 API를 이용한 해시 값 질의

바이러스토털은 공개 API를 통해 스크립트 작성할 수 있는 기능도 제공.

파일 등록 자동화, 파일/URL 스캔 리포트 검색, 도메인/IP 리포트 검색을 제공.

 

파이썬 바이러스토털 공개 API를 보여주는 파이썬 스크립트.

입력값으로 해시값을 받아 바이러스토털 데이터베이스를 질의.

 

다른 방법으로는 pestudio 또는 PPEE 같은 PE 분석 도구가 있음.

바이너리 로딩하면 바이너리의 해시 값ㅇ르 바이러스토털 데이터베이스로 자동 질의 후 결과를 보여줌. 

 

4. 문자열 추출

문자열(String): 파일에 포함된 출력 가능한 ASCII와 유니코드의 순차적인 문자 집합.

문자열 추출은 프로그램 기능과 의심 바이너리 관련 지표에 대한 단서를 제공. 

 

4-1. 도구를 이용한 문자열 추출

리눅스 시스템에서 strings 유틸리티를 사용할 수 있음.

strings 명령어는 기본적으로 최소 4문자 이상의 ASCII 문자열을 추출함.

-a 옵션을 이용하면 전체 파일에서 문자열 추출 가능. 

 

바이너리에서 유용한 정보를 얻으려면 ASCII와 유니코드 문자열 모두를 추출해야 함. 

strings 명령어를 이용한 유니코드 추출은 -el 옵션을 사용하면 됨. 

 

윈도우 환경에서는 ASCII와 유니코드 문자열 모두를 표현해 주는 pestudio라는 도구 이용 가능. 

 

4-2. FLOSS를 이용한 난독화된 문자열 디코딩

대부분의 경우 악성코드 제작자는 탐지 회피하고자 간단한 문자열 난독화 기법을 사용.

난독화된 문자열은 strings 유틸리티와 다른 추출도구를 이용해 추출이 불가능.

 

FLOSS(FireEye Labs Obfuscated String Solver): 악성코드에서 난독화된 문자열 자동으로 추출하고 식별하고자 디자인된 도구. 

 

5. 파일 난독화 파악

악성코드 제작자는 난독화를 통해 악성코드 내부의 동작을 보안 연구자, 악성코드 분석가, 리버스 엔지니어로부터 보호. 

난독화 기술은 바이너리를 탐지/분석하기 어렵게 하기 때문에 추출할 수 있는 문자열은 별로 되지 않으며 문자열 대부분 모호.

백신과 같은 보안 제품의 탐지 회피하고자 패커(Packer)와 크립터(Cryptor) 같은 프로그램 자주 사용.

 

5-1. 패커와 크립터 

패커: 실행 파일을 입력으로 받아 실행 파일의 내용을 압축해 난독화하는 프로그램.

크립터: 패커와 유사하지만, 실행 파일의 내용 난독화하고자 압축 대신 암호화를 사용. 

 

5-2. Exeinfo PE를 이용한 파일 난독화 탐지

정상적인 실행 파일 대부분은 파일 내용을 난독화하지 않지만, 일부는 자기들의 코드 조사하지 못하도록 난독화 하기도 함.

패킹한 샘플 발견한다면 악성코드일 확률 높음.

 

윈도우에서 패커 탐지하고자 Exeinfo PE와 같은 무료 도구를 사용할 수 있음.

패커 또는 크립터 탐지 가능, 샘플의 언패킹 방법에 대한 정보/참고정보를 제공함

 

6. PE 헤더 정보 조사

윈도우 실행 파일은 PE/COFF를 반드시 준수해야 함.

PE 파일 포맷은 윈도우 실행 파일이 사용하며, 이러한 파일을 PE(Portable Excutable) 파일이라고 부름. 

PE 파일은 운영 시스템이 메모리로 로딩할 때 필요한 정보를 가진 일련의 구조체와 하위 컴포넌트임. 

 

실행 파일을 컴파일하면 해당 구조체를 설명하는 헤더(PE 헤더)를 포함.

바이너리 실행하면 운영 시스템 로더는 PE 헤더에서 구조체 정보 읽은 후 바이너리 내용 파일에서 읽어 메모리로 로딩.

PE 헤더: 실행 파일이 메모리 어디에 로딩되어야 할지, 실행 파일의 시작이 어딘지, 애플리케이션이 의존하는 라이브러리/함수 목록, 바이너리가 사용하는 리소스 등의 정보를 포함.

 

PE 구조와 하위 컴포넌트 검사/수정할 수 있는 도구들:

• CFF Explorer
• PE Internals
• PPEE
• PEBrowseProfessional

 

6-1. 파일 의존성과 임포트 조사

일반적인 악성코드는 파일, 레지스트리, 네트워크 등과 상호작용.

상호작용 수행하고자 악성코드는 운영 시스템에서 제공하는 함수에 많이 의존.

 

윈도우는 API(Application Programming Interface)로 불리는 함수를 임포트하고 있음, 상호작용 위해선 DDL(Dynamic Link Library) 파일이 필요.

실행 파일은 일반적으로 다른 기능 제공하는 다양한 DLL에서 이런 함수 임포트하거나 호출

 

악성코드가 의존 중인 DLL과, DLL이 임포트하고 있는 API 함수 조사하면 악성코드의 기능, 성능, 실행 중 예상할 수 있는 기능 알 수 있음.

윈도우 실행 파일의 파일 의존성은 PE 파일 구조의 임포트 테이블에 저장됨. 

 

악성코드 기능 파악하는 것 외에도 임포트는 악성코드 샘플의 난독화 여부 탐지에 도움을 줌. 

 

6-2. 익스포트 조사

실행 파일과 DLL은 다른 프로그램에서 사용할 수 있는 함수를 익스포트(export) 할 수 있음.

일반적으로 DLL은 실행 파일이 임포트할 수 있는 함수(익스포트)를 노출.

DLL은 단독 실행 불가 → 호스트 프로세스 통해 실행

공격자는 악의적 함수 익스포트하는 DLL을 자주 생성함.

DLL 역시 다른 라이브러리(DLL)에서 함수 임포트해 시스템 연산 수행 가능.

 

파이썬에서 peflie 모듈 이용해 익스포트 함수 나열 가능. 

 

6-3. PE 섹션 테이블과 섹션 조사

PE 파일의 실제 내용은 섹션(section)으로 구분.

섹션은 PE 헤더 바로 다음에 존재함. 

섹션은 코드 또는 데이터 나타내며, 읽기/쓰기와 같은 메모리 내부 속성을 가짐.

 

PE 파일의 공통 섹션 일부:

 

섹션명은 사람을 위한 것으로 운영 시스템에서는 사용 X

→ 공격자 또는 난독화 소프트웨어가 섹션명을 다른 이름으로 변경 가능하다는 의미.

 

섹션에 대한 정보(섹션명, 섹션 위치, 특징)는 PE 헤더에 있는 섹션 테이블에 존재.

섹션 테이블 조사하면 섹션과 섹션의 특징 정보 얻을 수 있음.

 

pestudio에 실행 파일 로드 시 sections 클릭하면 섹션 테이블에서 추출한 섹션 정보와 그 속성을 표시.

필드	설명
이름(Names)	섹션명을 표시
가상-크기(Virtual-Size)	메모리 로딩할 때 섹션의 크기 나타냄
가상-주소(Virtual-Address)	섹션을 메모리 어디에서 찾을 수 있는지 나타내는 상대적 가상 주소
원시-크기(Raw-size)	해당 섹션이 디스크에 존재할 때의 크기 나타냄
원시-데이터(Raw-data)	파일에서 해당 섹션 찾을 수 있는 오프셋
엔트리 포인트(Entry-point)	코드가 실행 시작하는 RVA(Relative Virtual Address, 상대적 가상 주소).

 

섹션 테이블 검사는 PE 파일의 이상 식별하는 데 도움을 줌. 

 

위 파이썬 스크립트는 pefile 모듈을 통해 섹션과 섹션의 특징 보여줌.

 

6-4. 컴파일 타임스탬프 조사

PE 헤더는 바이너리가 컴파일될 때 생성되는 정보를 포함.

이 필드 조사하면 악성 코드가 언제 처음 생성됐는지 알 수 있어서, 공격 활동의 타임라인 작성할 때 도움을 줌.

공격자가 실제 타임스탬프 알 수 없도록 타임스탬프 수정해버릴 수도 있음.

 

위 파이썬 명령어 사용해 컴파일 타임스탬프를 알 수 있음.

 

6-5. PE 리소스 조사

아이콘, 메뉴, 대화상자, 문자열 등 실행 파일에 필요한 리소스는 실행 파일의 리소스 섹션(.rsrc)에 저장.

때때로 공격자는 추가 바이너리, 미끼(decoy) 문서, 설정 데이터 등의 정보를 리소스 섹션에 저장함.

리소스 섹션은 근원지, 회사명, 프로그램 제작자 세부 정보, 저작권 관련 정보 노출할 수 있는 버전 정보도 포함

 

리소스 해커: 의심 바이너리에서 리소스 조사하고 확인 후 추출할 수 있는 도구

 

7. 악성코드 비교와 분류

의심 바이너리를 이전 분석 샘플 또는 공개/사설 저장소에 저장된 샘플과 비교 시 악성코드군, 악성코드의 특징, 이전 분석 샘플과의 유사성 파악 가능. 

 

7-1. 퍼지 해싱을 이용한 악성코드 분류

퍼지 해싱(fuzzy hashing)은 파일 유사도를 비교하는 방법.

 

ssdeep: 샘플에 대한 퍼지 해시를 생성하는 도구. 샘플 간의 유사성 비율 파악하는 데 도움을 줌. 

의심 바이너리와 저장소의 샘플들 비교해 유사한 샘플 식별에 유용, 동일한 악성코드군 또는 동일 공격자 그룹에 속하는 샘플 식별에 도움을 준다.

 

리눅스 VM에 ssdeep을 설치 후 아래 명령어를 실행하면 샘플의 퍼지 해시를 확인 가능. 

 

ssdeep에 있는 상세 일치 모드(-p 옵션) 사용해 유사도를 알 수 있음.

 

7-2. 임포트 해시를 이용한 악성코드 분류

임포트 해싱(import hashing)은 연관성 있는 샘플과 동일한 공격자 그룹에서 사용한 샘플을 식별하는 데 사용할 수 있는 다른 기술. 

임포트 해시(imphash)는 실행 파일에 있는 라이브러리/임포트 함수명과 특유의 순서를 바탕으로 해시 값을 계산하는 기술.

동일한 소스, 방식으로 파일 컴파일할 경우 해당 파일은 동일한 임포트 해시값을 갖는 경향이 있음. 

 

pestudio로 실행 파일 로드하면 imphash를 생성. 

 

파이썬에서는 위와 같이 peflie 모듈 이용해 imphash 생성 가능. 

 

7-3. 섹션 해시를 이용한 악성코드 분류

임포트 해시와 유사하게 섹션 해싱(section hashing)도 관련 샘플 식별하는 데 도움을 줄 수 있음. 

 

실행 파일을 pestudio에 로드하면 각 섹션(.text, .data, .rdata 등)의 MD5를 계산.

 

파이썬에서는 위와 같이 pefile 모듈 이용해 섹션 해시 구할 수 있음. 

 

7-4. YARA를 이용한 악성코드 분류

YARA: 악성코드를 식별하고 분류하는 강력한 도구. 

악성코드 연구자는 악성코드 샘플에 포함된 텍스트 또는 바이너리 정보를 기반해 YARA 규칙을 생성할 수 있음.

이 규칙은 로직을 결정하는 문자열과 부울 표현식의 집합으로 구성됨.

YARA 규칙 작성하면 YARA 유틸리티 또는 yara-python 사용해 작성한 도구로 파일 스캐닝할 때 해당 규칙 이용 가능. 

 

YARA 규칙은 일반 텍스트 편집기 이용해서도 작성 가능.

YARA 규칙의 컴포넌트:

• 규칙 식별자
  • 규칙을 설명하는 이름.
  • 규칙 식별자는 영문자, 숫자, 밑줄 표현 가능하지만 첫 문자로 숫자를 사용할 수 업음.
  • 대소문자를 구분하고 128자 초과할 수 없음.
• 문자열 정의
  • 규칙의 일부인 문자열이 정의되는 섹션.
  • 규칙이 문자열에 의존하지 않을 경우 생략 가능.
  • 각 문자열은 연속된 영문자, 숫자, 밑줄이 뒤따르는 $ 문자로 구성된 식별자를 가짐. 
• 조건 섹션
  • 규칙의 로직이 위치하는 곳.
  • 규칙이 일치하거나 일치하지 않는 조건 지정하는 부울 표현식 포함해야 함.

규칙 준비 이후에는 yara 유틸리티 사용해 규칙에 따라 파일 스캔해야 함. 

 

YARA는 모든 파일의 패턴을 감지하는 데 사용 가능. 

알려진 샘플의 저장소를 스캔하는 YARA 규칙 생성하면 동일한 특성 가진 샘플을 식별/분류 가능함.