0. 악성코드 정적 분석이란

• 정적분석은 의심/악성 파일을 실행하지 않고 분석하는 기법으로, 바이너리에서 유용한 정보를 출력하여 어떻게 분류/분석할 지, 이후 분석의 초점을 어디에 둘지를 결정하기 위한 초기 분석 방법이다.

• 정적인 속성, 코드 정보를 이용해 분석

• 악성코드 정적 분석 목표

  • 악성코드의 목표 아키텍처 식별
  • 악성코드 식별(fingerprinting)
  • 백신 엔진을 이용해 의심스러운 바이너리 스캔
  • 파일과 관련된 문자열, 함수, 메타데이터 추출
  • 분석을 방해하고자 사용하는 난독화 기술 식별
  • 악성코드 샘플들 비교 및 분류

  → 이 기법들을 이요하여 분석 대상 파일에 대한 다양한 정보를 발견할 수 있음 (모든 방법을 따를 필요는 없으며, 상황에 따라 선택할 것)

• 악성코드 분석 시 가장 먼저 진행(악성코드 연구의 시작 단계)

• 프로그램의 기능 파악을 위해 코드나 프로그램의 구조를 분석(프로그램 실행X)

• 파일의 문자열, 헤더 정보, 추가 리소스 등 정적 속성을 분석

• 기본적인 침해 사고 지표(IOC) 파악에 충분한 방법

• 분석방법 - 악성여부 1차적 판단(Virustotal 인텔리전스, PE 식별 도구 등)

  • 해시, 파일의 문자열, 함수, 헤더를 통해 개략적인 정보 파악

PE 파일 구조

| PE 헤더 | 프로그램 정보 : 파일 속성, 파일 형식, 아키텍쳐 등 섹션 헤더 정보 : 파일 오프셋 + 메모리 매핑 필요한 기능 : 운영체제에서 빌려와야 하는 기능 | | --- | --- | | PE 섹션 | - 실제 프로그램 내용이 저장되는 블록

• PE가 가상 주소 공간에 로드된 후 섹션 애요이 참고되고 실행
• 코드 섹션 : .text
• 데이터 섹션 : .data
• 리소스 섹션 : .rsrc 기타 정보를 섹션별로 구분 |

1. 악성코드 식별 (=파일 유형 파악)

• 바이너리 파일 유형을 파악, 구분하는 것은 “악성코드의 타겟 목표 운영 시스템”을 식별하는 데에 도움이 된다. (OS : Windows, Linux / Architecture : 32bit or 64bit)
• 악성코드 식별 (=Finger Printing)은 의심스러운 바이너리의 내용을 바탕으로 Hash 값을 생성하여 Virustotal과 같은 인텔리전스 또는 백신 엔진 데이터베이스에서 Hash를 조회하여 동일한 악성코드가 무엇이 있는지 확인하기 위함이다. (파일명이 다를 수 있기 때문에)
• 분석과정에서 Drop 되어 발견된 샘플의 해시값은 원본 샘플과 동일한지 또다른 악성코드인지 식별할 수 있다.

1-1. 파일 시그너처 확인(수동)

• 파일 확장자는 파일 유형을 파악하기 위한 유일한 방법이 아니다.(공격자가 파일 확장자를 수정하여 은닉하는 등 외형을 바꿀 수 있기 때문)
  • 그렇기 때문에 파일 확장자 외에 “파일 시그너처(File Signature)로 파일 유형을 구분한다
  • 파일 시그너처는 파일 헤더에 작성되는 바이트의 독특한 배열 순서를 가진 고유한 값
  • www.filesignatures.net 에서 파일 시그너처 정보 참고

파일 시그너처 확인 예