| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 웹개발
- sk쉴더스 루키즈
- 알고리즘
- 레나튜토리얼
- linux
- 우아한테크코스
- 백엔드
- 루키즈 31기
- 예술의 전당
- 프랑스어 #프랑스어배우기 #프랑스어독학 #델프인강 #시원스쿨프랑스어 #delf독학 #델프 #프랑스어기초 #프랑스어공부
- 코리안챔버오케스트라
- 루키즈31기
- sk 쉴더스 루키즈
- 자바
- webhacking
- 프리코스
- 위상 정렬
- 트랜스포트 계층
- SK쉴더스루키즈
- React
- 서울청년문화패스
- 진입차수
- 우테코
- SK쉴더스
- Dreamhack
- 악성코드 분석
- 깃
- c
- 애플리케이션 계층
- 다이나믹 프로그래밍
- Today
- Total
yon11b
[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-02) 본문
[SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-02)
yon11b 2026. 5. 29. 03:08======= 정적 분석 =======
dll 파일이라 실행을 이렇게 해야 한다.
C:\windows\system32\rundll32.exe C:\Lab03-02.dll,installA[네트워크 통신 dll -PEstudio(libraries)]
ws2_32.dll
네트워크 관련
kernel32.dll
파일 관련
advapi32.dll
레지스트리, 서비스 관련
msvcrt.dll
printf 쓰면 등장. 문자열 관련.
[ServiceMain - PEstudio(exports)]
ServiceMain이 여기서 이상한 얘다.
왜냐?
ServiceMain이란?: Windows Service의 실제 시작 함수(entry 역할)
일반 프로그램은 main(), WinMain() 부터 시작한다. (ServiceMain은 x)
본래 ServiceMain의 역할
- 서비스 초기화
- 스레드 생성
- 네트워크 연결
- 백그라운드 루프 실행
- 서비스 상태 등록
같은 작업을 수행한다.
악성코드에서는
- 부팅 후 자동 실행
- 백그라운드 상주
- SYSTEM 권한으로 실행 가능
- 사용자 눈에 잘 안 띔
목적으로 ServiceMain을 쓴다.
++windows 서비스는 보통 services.exe → svchost.exe → ServiceMain 호출 이런 흐름으로 동작한다.
[도메인 & quit 명령어 & svchost.exe & INA - strings]
1. 외부 도메인
practicalmalwareanalysis.com
2. quit 명령어
base64인코딩 된 것처럼 보이는 문자열이 있어서 base64 디코딩을 해보았다.
quit 명령어로 나왔다.이 명령어가 있으면 백도어일 가능성이 있다.
⇒ 왜냐하면 일반 프로그램은 "원격 제어용 명령 문자열"을 거의 안 쓰기 때문이다.
추가설명: 백도어는 보통 다음과 같은 자체 프로토콜을 만든다.
| 명령 | 의미 |
| connect | C2 연결 |
| cmd | 명령 실행 |
| sleep | 대기 |
| getfile | 파일 다운로드 |
| quit | 연결 종료 |
3. svchost.exe
의심가는 파일 발견: Svchost
svchost.exe는 백그라운드 실행 관련 파일이다.
svchost.exe -k netsvcs 의 의미
→ netsvcs 그룹 서비스(악성 DLL)가 svcst 서비스 그룹에 삽입된다
Windows는 DLL 형태 서비스들을 직접 실행하지 못한다.
그래서 svchost.exe 라는 서비스 실행용 호스트 프로세스 안에 DLL 서비스를 넣어서 실행한다.
구조는 보통 이렇다.
services.exe
↓
svchost.exe -k netsvcs
↓
서비스 DLL들 로드
4. INA (Intranet Network Awareness), IPRIP, INA 설명
위장 파일로 의심된다. 저런 파일은 없다.
======= 동적 분석 =======
INA를 강제로 시작해준다.
제어판(Control Panel) - Administrative Tools - Service
그럼 procexp에서 lab03-02가 보인다.
[sysanlayzer로 분석]
reg monitor
해당 레지스트리 값이 IPRIP=로 변조되었다는 것을 의미한다.
sniff_hit
웹 요청/응답 볼 수 있음
최종결론
Lab03-02.dll은 DLL 형태의 Windows 서비스형 악성코드이다.
rundll32.exe를 통해 installA 함수가 호출되면, 악성코드는 Service Control Manager와 레지스트리를 조작하여 자신을 서비스로 등록하려고 한다.
서비스명은 IPRIP, 표시 이름은 Intranet Network Awareness로 확인되며, 정상 네트워크 관련 서비스처럼 위장한다.
또한 svchost.exe -k netsvcs 그룹에 포함되어 백그라운드 서비스처럼 실행되도록 설계된 것으로 보인다.
네트워크 측면에서는 practicalmalwareanalysis.com/serve.html로 HTTP 요청을 보내고, cmd, getfile, sleep, quit 같은 명령을 처리할 수 있는 백도어 성격을 가진다.
따라서 이 악성코드는 서비스 등록 기반 지속성 확보, svchost 위장 실행, 외부 C2 통신, 원격 명령 실행 기능을 가진 백도어형 악성코드로 판단된다.
전체 흐름
'보안 > SK 쉴더스 루키즈' 카테고리의 다른 글
| [SK 쉴더스 루키즈] 윈도우 악성코드 고급 동적 분석: OllyDbg, Lena reversing tutorial01 문제 (0) | 2026.05.30 |
|---|---|
| [SK 쉴더스 루키즈] EMU 8086 실습(신호등, 계산기) (0) | 2026.05.30 |
| [SK 쉴더스 루키즈] 윈도우 기초 정적/동적 분석 실습 (Practical Malware Analysis LAB 03-01) (0) | 2026.05.29 |
| [SK 쉴더스 루키즈] 기초 동적 분석 도구 (procmon, procexp, regshot, SysAnalyzer) (0) | 2026.05.29 |
| [SK 쉴더스 루키즈] 기초정적분석으로 악성행위 예측하기 (Practical Malware Analysis LAB 01) (0) | 2026.05.28 |