강사님이 라이브 케이스 2개를 주셔서 1번부터 분석할 예정이다.
전부 txt 파일 형식이며 1케이스 중에 process_information부터 살펴보기로 했다.
uTorrent.exe
- PID: 420
server.exe
- PID: 2688
토렌트가 실행되고 있다 server는 부모 프로세스 없이 혼자 활동하길래 일단 킵해놓았다
다음은 handle.txt를 분석할 순서다. 프로그램이 어떤 핸들을 잡고 있는지 로그가 남는 파일이라고 한다.
svchost와 유사해보이지만 svchsot 라는 이름을 가진 exe가 존재한다
뭔데 이거...
C:\Windows\281F20BE\svchsot.exe
일단 또 킵해놓는다
토렌트를 살펴보면 딱히 특별한 건 없다
프로세스 txt 파일에 들어가서 server 친구가 뭘했는지 살펴본다
크기가 0 이고 high로 실행중이다 수상하다 누군가 내용을 지웠거나 한 것 같다
svchost 파일의 상태를 살펴본다 이 부분에서는 특별한 게 없어보인다
스케쥴을 확인해보니 매 정각마다 실행 되도록 설정되어있다
강사님이 말씀하시기를 사용자가 PC를 언제 킬지 모르니 매 정각마다 실행 되게 설정해둔거라고 하셨다
다음은 winprefetchView 라는 툴을 사용해서 자주 보이는 흔적들을 살펴보기로 한다
이렇게 보면 토렌트가 실행된지 2초 후에 실행됐다 그럼 유입 경로는 토렌트 파일임이 확률이 커졌다
SFX Archive를 이용한 악성코드 제작
SFX Archive란?SFX Archive는 Self-extracting file Archive의 약자로 자체 압축 풀림 또는 자동 압축 풀림을 의미한다. 대부분의 압축 파일은 알집 같은 별도의 소프트웨어를 이용해서 압축을 풀 수 있지만 위
jmoon.co.kr
이러한 악성코드를 SFX 아카이브를 통한 악성코드라고 한다
이후에는 상세분석으로 진행된다
'외부활동' 카테고리의 다른 글
| 대망의 K쉴드 수료식 (3) | 2022.12.30 |
|---|---|
| 프로젝트 3주차 (0) | 2022.11.16 |
| 프로젝트 1주차 (0) | 2022.10.31 |
| 케이쉴드 주니어 9기 합격 (0) | 2022.09.26 |
| 경찰청 방문 (0) | 2019.12.24 |