악성코드 샘플 분석 환경 구성

2023. 9. 18. 01:01보안관제

목차

  • 초기 세팅 과정
  • Snapshot
  • 악성코드 샘플 사이트

 

 

초기 세팅 과정

https://www.vmware.com/kr/products/workstation-player/workstation-player-evaluation.html

 

Download VMware Workstation Player | VMware

Download VMware Workstation Player for free today to run a single virtual machine on a Windows or Linux PC, and experience the multi-functional capabilities.

www.vmware.com

  • vmware 17 설치 링크, 필자는 이미 16이 있으므로 해당 버젼으로 진행

 

 

설치 후 초기 화면

  • 초기화면에서 Create a New Virtual Machine 클릭

 

 

미리 설정된 걸로 할지, 커스텀할지 결정

 

 

iso 파일 선정

  • 사전에 준비한 windows 7 iso 파일 삽입

 

 

가상머시 파일 위치 선정

 

 

가상 머신 용량 선정 및  저장 방식 선정

  • Store virtual disk as a single file : VMDK 파일을 단일 파일로 생성
  • Split virtual disk into multiple files : VMDK 파일을 2 GB 로 분할하여 생성
  • 특별한 경우 아니면 single로 하는게 성능이 더 나아서 이걸로 하는 거 추천

 

 

가상 머신 생성중

 

 

 

초기 세팅 진행중

 

 

 

windows 7 Professional K 클릭

 

 

 

세팅중...

 

 

 

건너뛰기

 

 

권장 설정 사용

 

 

https://www.catalog.update.microsoft.com/search.aspx?q=kb4474419 

 

Microsoft Update 카탈로그

 

www.catalog.update.microsoft.com

  • 해당 보안 업데이트 패치 파일, 뒤에 인덱스 값보고 파일 다운로드 진행

 

 

보안 업데이트 진행

 

 

vmware tool 설치

  • 위에 보안업데이트를 해줘야 위에 tools 설치 가능

 

 

Shared Folder 설정

  • Folder sharing 설정을 Always enabled로 설정후, 밑에 add 클릭

 

 

Next click

 

 

파일 위치 및 이름 선정

 

 

 

속성 > 공유탭 > 고급공유 > 권한 > Everyone 사용권한 허용

 

 

 

공유 대상PC 선택

 

 

선정한 폴더 생성

 

 

설정한 공유 폴더 확인 가능

  • 방금 vmware tools를 설치한 이유는 shared folder를 설정을 위한 것

 

 

초기 세팅

 

  • 선정한 폴더 안에 정적 툴과 동적 툴 프로그램들 가져옴
  • 그러면 초기 세팅 완료

 

Snapshot

정의: 특정 시점의 스토리지 데이터를 저장하고, 저장된 데이터가 필요할때 새로운 디스크의 형태로 복구될 수 있는 기능

사용 이유: 악성코드 실행 이전 저장 목적

 

Snapshot 탭

  • 첫번째 탭: Snapshot 추가
  • 두번째 탭: 바로 전 Shotshot 했던 곳으로 이동
  • 세번째 탭: Snapshot Manager: Snapshot 전체적으로 관리(삭제, 생성등등)

 

세번째 탭 설정 화면

  • Take Snapshot: Snapshot 저장
  • Delete: Snapshot 했던 것 삭제

 

 

 

악성코드 샘플 사이트

 

1. Hybrid Analysis

https://www.hybrid-analysis.com/

 

Free Automated Malware Analysis Service - powered by Falcon Sandbox

This is a free malware analysis service for the community that detects and analyzes unknown threats using a unique Hybrid Analysis technology. Here you can upload and share your file collections. Receive instant threat analysis using CrowdStrike Falcon Sta

www.hybrid-analysis.com

 

  • Sandbox 기반의 분석 내용을 제공해주는데 악성코드 분석에 있어 기본적인 정보를 가지고 시작할 수 있음
  • 사용자가 업로드할 때 공개에 동의한 샘플에 한정해서는 쉽게 다운로드 받을 수 있음
  • 다만 동의한 샘플에 대해서도 접근하기 위해서는 계정에 대한 특수한 권한이 필요함. 그래서 주로 깃헙 링크나 대학링크를 이용하는 것이 일반적

 

2. MalShare

https://malshare.com/

 

MalShare

 

malshare.com

 

  • MalShare도 계정이 필요한 사이트지만, 이전 사이트처럼 따로 컨택 메일을 보내거나 인증해야하는 방식은 아님.
  • 악성코드가 배포되는 URL이나 탐지되는 Yara Rule을 즉각적으로 확인할 수 있다는 장점
  • 다만 타 사이트에 비해서 원하는 샘플 보유수가 적어 악성코드를 찾기가 쉽지 않음  
 

3. Malware Traffic Analysis

https://www.malware-traffic-analysis.net/

 

malware-traffic-analysis.net

 

www.malware-traffic-analysis.net

 

  • 공유되는 악성코드의 종류가 극히 드물지만, 네트워크 패킷이나 악성코드 실행으로 생성되는 Artifact 정보 등 부가적인 요소들을 함께 제공

'보안관제' 카테고리의 다른 글

악성코드 샘플 분석 1  (0) 2023.10.15
정적, 동적 Tool 실습  (0) 2023.09.18
악성코드 분석개요  (0) 2023.09.01
Virustotal  (0) 2023.08.24
보안관제  (0) 2023.08.24

관련글

티스토리툴바