[SESSION] OT

악성코드

• 의도적으로 컴퓨터 사용자에게 피해를 주고자 만든 악의적인 프로그램
• 기존의 트로이목마, 애드웨어, 백도어, 루트킷 등의 악성코드에 더해, 최근에는 금전적 목적을 주로 드로퍼, 다운로더, 키로거, 마이너, 랜섬웨어 등 다양한 형태로 진화해 나가고 있음

---

관련 프로그램

머신러닝 관련: 코랩

리버싱 관련: x64dbg, x32dbg

https://sean.tistory.com/380

x64dbg(x32dbg) 다운로드 및 패키지 매니저 사용

악성코드 관련: PEView, pestudio

http://wjradburn.com/software/(PEView)

https://www.winitor.com/download(pestudio)

---

 

악성코드 분석 방법의 갈래

정적 분석

• 파일을 실행하지 않고 파일의 종류(exe, dll, doc, zip 등), 크기, 헤더(PE) 정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록 정보, 디버깅 정보, 디지털 인증서 등의 다양한 내용을 확인하는 것
• 디스어셈블러도 정적분석의 일부로 본다.

동적 분석

• 파일을 직접 실행시켜서 행위를 분석하고, 디버깅으로 코드 흐름과 메모리 상태 등을 자세히 살펴보는 것
• 파일, 레지스트리, 프로세스, 네트워크 등을 관찰하며 행위를 분석하고, 디버거를 이용해 프로그램 내부 구조와 동작 원리를 분석하기도 함

패킹 여부 확인(by. PEID), 자동화 분석(by. Cuckoo, Hybrid analysis 등)

 

• s/w가 리버스엔지니어링을 막기 위해 암호화하거나 실행파일을 압축하여 소스코드를 볼 수 없게 만드는 것 = 패킹
• 정적 분석: PEView, VirusTotal, strings, Dependency Walker, Resource Walker
  • IDA 같은 디스어셈블러로 내부 코드로 구조를 보는 건 고급 정적분석으로 분류
• 동적 분석: process monitor, RegShot, process explorer, wireshark, SysAnalyzer
  • Ollydbg, x64dbg 같은 디버거로 프로그램 내부 구조와 동작원리를 보는 걸 고급 동적분석으로 분류

---

 

KISA_Malware Features.pdf

1.00MB

 

• 메타데이터(Metadata): 기본적인 파일정보와 PE정보
• 정적정보(Static Info): 개발경로 및 문자열 등 코드 내에서 확인 가능한 정보
• 동적정보(Dynamic Info): 레지스트리, 프로세스 등 악성코드 실행 시 동작하는 주요 행위 정보
• 네트워크(Network): 악성코드 실행 시 접속 시도 및 파일/메모리 내 포함된 URL/IP
• ATT&CK Matrix: 악성코드를 전략, 전술 별(TTPs) 행위를 기술단위 별로 추출한 정보
• 기타 정보(ETC): 악성코드 함수 단위 등의 정보와 악성 문서에 대한 정보

---

https://github.com/a-tartarelli/malware-detection

GitHub - a-tartarelli/malware-detection: Malware detection using machine learning and deep learning algoritms based on O.S. API

 

https://github.com/OmerFarukKurklu/cnn-malware-classification

GitHub - OmerFarukKurklu/cnn-malware-classification: Classifying malware families by converting their binaries to images and the