악성코드 감염 분석 TIP

시나리오
1) 사용자가 무심코 악성코드를 실행함으로써 감염
2) 감염된 악성코드는 다운로더 형태로 추가 파일(mal.exe)을 다운받고 사라짐
3) 추가 파일(mal.exe)는 실행 되어서 공인인증서를 외부로 빼돌리고 원본파일 삭제됨

동적분석이든 정적 분석이든 하고 싶지만..
PC 내부에 남아있는 악성코드가 없으므로 분석하기가 쉽지 않음

아래 3가지 방법으로 실행했던 파일의 이름을 파악할 수 있다.
1. UserAssist 레지스트리에서 최근 실행 프로그램을 확인할 수 있다.
(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist)

2. Prefetch 빈번하게 사용되는 프로그램을 메모리로 빠르게 읽어오기 위해 캐시형태로 존재하는 파일로서 확인하면 유용한 정보가 있다.
(C:\windows\prefetch)

- prefetch 기능의 사용 유무 설정 레지스트리
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters)

3. MUICache : 사용한 exe, dll 파일을 캐쉬로 저장한다. 지속적으로 증가하는 캐쉬이며 필요 없을 때는 지워주면 PC가 빨라지기도 한다.
Registry 탐색기에서 MUICache 검색하여 찾아본다.

또한, 아래 방법으로 접근했던 페이지의 URL을 파악할 수 있다.
1. ipconfig /displaydns : 최근에 방문한 웹사이트의 정보를 보여준다.

두가지 정보를 조합하면
hxxp://malwaresite.cn/mal.exe 와 같은 방식으로 해당 악성코드를 확보하여 정밀 분석에 활용할 수 있다.

그외 또 다른 팁 하나.
1. ipconfig /displaydns 를 통해 캐쉬를 볼 수 있는데..
2. ipconfig /flushdns 를 입력하면 해당 캐쉬를 초기화 시킨다.
3. 그런데, /flushdns로 초기화 시키고 바로 /displadns를 했는데 캐쉬가 남아있는 경우가 있다.
4. 이 부분은 C:\Windows\System32\drivers\etc\hosts 파일에 설정되어 있는 부분이라 그런것이다.

이 방법을 이용하면, hosts 파일을 찾아서 들어가는 수고를 덜을 수 있다.
단, /displaydns를 이용하여 dns 캐쉬를 수집하기 전에 /flushdns를 하게 된다면 중요정보를 잃을 수 있기 때문에 순서에 주의하여 활용해야한다.