동적 분석 정의, 동적 분석 도구

동적 분석

- 악성코드 의심 파일을 직접 실행하여 실행 전후를 모니터링하며, 변화를 확인한다.

 

특징

- 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행하는 것을 권장

- 악성코드 행위의 특징과 규칙성, 놓친 부분 등을 알기 위해선 여러번 실행하여 확인하는 것이 중요하다

 

동적 분석 방법

 

1. 프로세스 모니터링

-악성코드를 실행시킨 뒤 프로세스의 변화를 살펴본다 -> 악성코드의 동작 추측 가능

 

2. 파일 모니터링

- 악성코드는 파일을 생성, 변조, 삭제 등 파일의 변화를 모니터링 하는 것이다.

 

=> 만약 모니터링을 통해 많은 파일이 변하는 것을 확인한다면 감염을 의심을 해봐야 한다.

 

3. 레지스트리 모니터링

- 악성코드는 윈도우 설정을 변경하여 원하는 동작을 수행한다.

=> 이러한 변경 정보를 수집하여 악성임을 판단하고 해결방안을 찾는다.

 

4. 네트워크 모니터링

네트워크를 통해 정보를 유출 또는 백도어를 여는 등의 작업을 수행하므로 모니터링을 해야한다.

 

5. 시작 프로그램 모니터링

- 레지스트리 값을 조작해서 윈도우 부팅이나 로그인 시에 자동으로 동작을 수행한다.

=> 자동 실행과 관련된 정보만을 모아서 모니터링을 하여 레지스트리 값을 조작했는지 확인한다.

 

동적 분석 도구

 

1. 프로세스, 파일 모니터링

Process Explorer

process explorer 실행 화면

- 프로세스를 관리하는 프로그램

- 실행 중인 프로세스의 조치 및 메모리 사용량을 파악한다.

 

프로세스 상태 구분

• 녹색 : 프로세스 실행
• 빨간색 : 프로세스 종료
• 분홍색 : 서비스 프로세스
• 파란색 : 사용자 프로세스
• 보라색 : 패킹 이미지 파일
• 무색 : 시스템 영역 프로세스

 

Process Monitor

Process Monitor 실행 화면

- 프로세스 트리를 확인하여 악성 파일을 실행했을 때 과정을 알 수 있다

- 또한 필터링 기능을 통해 특정 프로세스나 악성코드 행위들만 볼 수 있어 유용하다

 

 

2. 시작 프로그램, 레지스트리 모니터링

Autoruns

Autoruns 실행 화면

 

- 레지스트리 변화를 확인할 수 있는 도구

- 부팅 후 자동으로 실행되는 프로그램을 볼 수 있다

 

- [File – Compare] 기능을 통해 악성코드 의심파일 실행 전 후 변화를 확인할 수 있다.

 

 

3. 네트워크 모니터링

currports

 

- 파일 실행 시 네트워크 변화를 확인할 수 있다

 

WireShark

WireShark 초기 화면

- 네트워크 상 주고받는 패킷을 캡쳐하여 분석할 수 있는 도구

  

• 자동으로 와이어샤크가 이더넷 인터페이스를 찾는다.
• 해당 부분을 클릭하면 왼쪽 상단에 상어지느러미 모양이 활성화되는데
• 해당 이더넷 인터페이스에서 통신하는 패킷들을 찾아준다.

 

WireShark 실행 화면

  

• 패킷을 실시간으로 잡아내는 것을 확인할 수 있다.
• 상단을 보면 해당 패킷이 어디서 보냈고 어디로 받았는 지와 프로토콜의 정보 등을 볼 수 있다.

 

WireShark 필터링 기능

•  Apply a display filter에 필터식을 검색하여 원하는 패킷을 골라서 분석하는 것이 가능하다.