악성 프로그램 분석

멀웨어 분석은 바이러스, 웜, 트로이 목마, 루트킷 또는 백도어 ^[1]등의 특정 멀웨어 샘플의 기능, 출처 및 잠재적인 영향을 확인하는 연구 또는 프로세스입니다.멀웨어 또는 악성 소프트웨어는 호스트 운영 체제를 손상시키거나 사용자, 조직 또는 회사로부터 기밀 데이터를 훔치기 위한 컴퓨터 소프트웨어입니다.악성 프로그램에는 사용자 정보를 ^[2]무단 수집하는 소프트웨어가 포함될 수 있습니다.

사용 사례

악성 프로그램 분석의 필요성을 유발하는 대표적인 세 가지 사용 사례가 있습니다.

• 컴퓨터 보안 사고 관리: 조직이 일부 악성코드가 시스템에 침입한 것을 발견하거나 의심하는 경우, 대응팀은 조사 프로세스 중에 발견된 잠재적인 샘플에 대해 악성코드의 분석을 수행하여 악성코드가 악성코드에 해당하는지 여부 및 악성코드가 악성코드에 미치는 영향을 판별할 수 있습니다.대상 조직의 환경 내에 있는 시스템입니다.
• 멀웨어 조사: 학계 또는 업계 멀웨어 조사자는 멀웨어의 동작과 그 구축에 사용되는 최신 기술을 이해하기 위해 멀웨어 분석을 수행할 수 있습니다.
• 타협 추출 표시기:소프트웨어 제품 및 솔루션 벤더는 잠재적인 새로운 손상 징후를 판단하기 위해 대량 말웨어 분석을 수행할 수 있습니다.이 정보는 조직이 말웨어에 의한 공격으로부터 더 잘 방어할 수 있도록 보안 제품 또는 솔루션을 제공할 수 있습니다.

종류들

멀웨어 분석을 수행하는 방법은 일반적으로 다음 두 가지 유형 중 하나로 분류됩니다.

• 정적 멀웨어 분석:정적 또는 코드 분석은 보통 바이너리 파일을 실행하지 않고 바이너리 파일의 다른 리소스를 해부하여 각 컴포넌트를 조사함으로써 수행됩니다.바이너리 파일은 IDA 또는 Ghidra 등의 디스어셈블러를 사용하여 디스어셈블(또는 리버스 엔지니어링)할 수도 있습니다.기계 코드는 때때로 사람이 읽고 이해할 수 있는 어셈블리 코드로 변환될 수 있습니다.말웨어 분석가는 프로그램 내의 특정 기능 및 동작과 관련된 어셈블리를 읽고 어셈블리 명령을 이해하여 프로그램이 어떻게 동작하고 있는지 더 잘 시각화할 수 있습니다.원래 설계대로입니다.이 어셈블리를 표시함으로써 말웨어 분석가/리버스 엔지니어는 실제로 무슨 일이 일어나야 하는지 더 잘 이해하고 숨겨진 액션 또는 의도하지 않은 기능을 계획하기 시작할 수 있습니다.일부 최신 악성 프로그램은 이러한 유형의 분석을 방지하기 위해 회피 기술을 사용하여 작성됩니다. 예를 들어, 분해자를 혼란스럽게 하지만 실제 ^[3]실행 중에도 계속 작동합니다.
• 동적 멀웨어 분석:동적 또는 동작 분석은 말웨어가 실제로 호스트 시스템에서 실행되는 동안 동작을 관찰함으로써 수행됩니다.이러한 유형의 분석은 말웨어가 실제 운영 시스템에 감염되는 것을 방지하기 위해 샌드박스 환경에서 자주 수행됩니다. 이러한 샌드박스의 대부분은 분석 완료 후 쉽게 클린 상태로 롤백할 수 있는 가상 시스템입니다.또한 명령이 처리되는 동안 멀웨어의 동작과 호스트 시스템에 대한 영향을 단계별로 관찰하기 위해 GDB 또는 WinDbg 등의 디버거를 사용하여 멀웨어를 디버깅할 수도 있습니다.최신 멀웨어는 가상 환경 또는 액티브 디버거에 대한 테스트, 악의적인 페이로드 실행 지연 또는 ^[4]대화형 사용자 입력 요구 등 동적 분석을 차단하도록 설계된 다양한 회피 기술을 제공할 수 있습니다.

스테이지

악성 소프트웨어 검사에는 다음과 같은 여러 단계가 포함됩니다.

• 수동 코드 반전
• 인터랙티브 행동 분석
• 정적 속성 분석
• 완전 자동화 분석

레퍼런스