동적 분석
- 악성코드 의심 파일을 직접 실행하여 실행 전후를 모니터링하며, 변화를 확인한다.
특징
- 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행하는 것을 권장
- 악성코드 행위의 특징과 규칙성, 놓친 부분 등을 알기 위해선 여러번 실행하여 확인하는 것이 중요하다
동적 분석 방법
1. 프로세스 모니터링
-악성코드를 실행시킨 뒤 프로세스의 변화를 살펴본다 -> 악성코드의 동작 추측 가능
2. 파일 모니터링
- 악성코드는 파일을 생성, 변조, 삭제 등 파일의 변화를 모니터링 하는 것이다.
=> 만약 모니터링을 통해 많은 파일이 변하는 것을 확인한다면 감염을 의심을 해봐야 한다.
3. 레지스트리 모니터링
- 악성코드는 윈도우 설정을 변경하여 원하는 동작을 수행한다.
=> 이러한 변경 정보를 수집하여 악성임을 판단하고 해결방안을 찾는다.
4. 네트워크 모니터링
네트워크를 통해 정보를 유출 또는 백도어를 여는 등의 작업을 수행하므로 모니터링을 해야한다.
5. 시작 프로그램 모니터링
- 레지스트리 값을 조작해서 윈도우 부팅이나 로그인 시에 자동으로 동작을 수행한다.
=> 자동 실행과 관련된 정보만을 모아서 모니터링을 하여 레지스트리 값을 조작했는지 확인한다.
동적 분석 도구
1. 프로세스, 파일 모니터링
Process Explorer
- 프로세스를 관리하는 프로그램
- 실행 중인 프로세스의 조치 및 메모리 사용량을 파악한다.
프로세스 상태 구분
- 녹색 : 프로세스 실행
- 빨간색 : 프로세스 종료
- 분홍색 : 서비스 프로세스
- 파란색 : 사용자 프로세스
- 보라색 : 패킹 이미지 파일
- 무색 : 시스템 영역 프로세스
Process Monitor
- 프로세스 트리를 확인하여 악성 파일을 실행했을 때 과정을 알 수 있다
- 또한 필터링 기능을 통해 특정 프로세스나 악성코드 행위들만 볼 수 있어 유용하다
2. 시작 프로그램, 레지스트리 모니터링
Autoruns
- 레지스트리 변화를 확인할 수 있는 도구
- 부팅 후 자동으로 실행되는 프로그램을 볼 수 있다
- [File – Compare] 기능을 통해 악성코드 의심파일 실행 전 후 변화를 확인할 수 있다.
3. 네트워크 모니터링
currports
- 파일 실행 시 네트워크 변화를 확인할 수 있다
WireShark
- 네트워크 상 주고받는 패킷을 캡쳐하여 분석할 수 있는 도구
- 자동으로 와이어샤크가 이더넷 인터페이스를 찾는다.
- 해당 부분을 클릭하면 왼쪽 상단에 상어지느러미 모양이 활성화되는데
- 해당 이더넷 인터페이스에서 통신하는 패킷들을 찾아준다.
- 패킷을 실시간으로 잡아내는 것을 확인할 수 있다.
- 상단을 보면 해당 패킷이 어디서 보냈고 어디로 받았는 지와 프로토콜의 정보 등을 볼 수 있다.
- Apply a display filter에 필터식을 검색하여 원하는 패킷을 골라서 분석하는 것이 가능하다.
'보안 > 보안관제' 카테고리의 다른 글
| Snort란 Snort Rule Signature (0) | 2023.09.01 |
|---|---|
| 정적 분석 정의, 정적 분석 도구 (0) | 2023.08.31 |
| VirusTotal 이란? (1) | 2023.08.27 |
| 보안관제란? (0) | 2023.08.27 |
| 악성코드 종류 (0) | 2023.08.23 |