악성파일 분석의 4단계 (Mastering 4 Stages of Malware Analysis)

참고: https://zeltser.com/mastering-4-stages-of-malware-analysis/

악성파일 분석 정리

- 악성파일 분석에 있어 아래와 같이 분석 기술에 따라 단계별로 구분할 수 있다.

- 피라미드 형식으로 상위로 갈수록 많은 노력이 필요하다.

1. Fully-automated Analysis

- 악성 파일 여부를 판별하는 가장 쉬운 방법으로 전체 프로세스가 자동화 된 툴 등을 이용하여 분석

- 인간이 수동적으로 처리해야 할 부분을 대신 처리해줌으로, 신속 처리 가능

- 일반적으로 악성 프로그램에 의해 사용 되는 레지스트리 키, 파일 행위, 네트워크 트래픽 같은 결과값 출력

(Toolkits for Automating Malware Analysis 도구), (Automated Malware Analysis Services 도구)

2. Static properties analysis

- 의심스러운 파일에 대해, 파일을 실행하지 않고 정적 속성 값에 대해 분석

- 정적 속성에는 파일에 포함 된 문자열, 헤더정보, 해시값, 포함 된 리소스, 패커, 시그니처, 생성 날짜와 같은 메타 데이터가 포함

- Virustotal은 정적 속성 분석에 우수한 예

3. Interactive Behavior Analysis

- 자동화 도구 사용하고 파일의 정적 속성 값 검사 이후 면밀한 검사를 실시 할 때 사용되는 분석

- 행위 분석에는 레지스트리, 파일시스템, 프로세스 및 네트워크 활동을 이해
(파일을 수동적으로 관찰하기 보다는 악의적 행위를 보는 관점)

4. Manual code reversing

- Decoding encrypted data stored or transferred by the sample

- Determining the logic of the malicious program’s domain generation algorithm

- ollydbg나 ida pro와 같이 코드를 역공학하여 분석 하는 것으로 보면 됨