nssock2.dll 분석 일기

2018-09-05

악성 코드를 기부 받았는데 드디어 분석하게 되네요!

아마 악성 코드 분석 커리큘럼은 이렇게 될 것 같습니다!

1. 악성 코드 보고서 탐독
   
2. 정적 분석
3. 행위 분석
4. 동적 분석
5. 악성코드 구현(좋은 루틴은.. 헤더 파일로 박제합시다!!)

여러분이 처음 보는 악성코드 보고서 분석이라는 단계에 대해서 설명하겠습니다.

이번에 분석하는 악성 코드까지 합하면 3 번째 분석입니다.(이번 악성코드 난이도는 최상 추정)

바이러스토탈에서 악성코드의 해쉬값을 검색해봅시다.

Windows 버전 샘플 해쉬 값

1. MD5 : 97363d50a279492fda14cbab53429e75
2. SHA-256 : 462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8

Linux 버전 샘플 해쉬 값

1. MD5 : 71375aa4ad00f0fb209c8f22e0090715
2. SHA-256 : d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48

바이러스 토탈사마, 정보를 주시는거데스!!

등록된 파일 이름은 nssock이였군요. 최근에 등록된 최신 악성코드네요!

인제 문서를 탐독하여 모르는 단어를 뽑아봅시다.

1. VirtualAlloc(DLL Injection 할 때 메모리 관련 함수라고 썼던 기억이 납니다.)
2. 쉘코드(만드는 방법을 몰라요)
3. PEB
4. Dummy Code(이건 안티 디버깅에 사용되는 거 아닙니까. 저도 한번 맹들어봐야겠습니다.)
5. GetProcAddress(라이브러리 로드해서 함수를 불러올 때 썼던 기억이 납니다.)
6. API Encoding(어멋.. 이건 반드시 빼먹어야햇..)
7. 파이썬(저 그런 언어 안써봤으요...)
8. Json 데이터 파싱 (Json 데이터 파싱은 api로 밖에 안 해봤는데)
9. 해쉬 함수(단어는 들어봤지 실습도 안해봄)
10. RSA(그거 공개키 비공개키 그거 아입니까?)
11. 스레드풀(스레드 관련된 단어라 들어봤습니다.)
12. AES(이것도 암호화인건가)
13. etc...

간추리고 함축해봤는데도 이 정도 입니다.

미리 스탭님에게 감사하다는 말씀을 올립니다.