Lab 3-1
Q1: 静的解析
importをpestudioでみてみると、ExitProccessしか無いのでパッキングされてるかと思い、PEiDで確認すると、
PEncrypt 3.1 みたいなパッカーでパッキングされてる。
ただstringはそんなに暗号化されていなく、以下のようにアクセスしそうなドメインやレジストリパスが書いてある。
Q2: host-basedシグネチャ (動的解析)
まずマルウェア実行前の設定をする。
はじめに、procmonのフィルタでLab03-01.exeプロセスだけ監視するようフィルタリングする。
次に、Regshotの1st shotを取っておく(1-2分ぐらいかかる)。
最後に、ProcessExplorer(procexp)を起動しておき、マルウェアを実行する。
そうすると、上記のようにprocmonにも色々現れるが、procexpには何もでない...
とりあえずregshotで2nd shotをして保存してみたあと、procmonから解析してみる。マルウェアが何を変更したかだけみれば、その変更内容をシグネチャにできるので、RegSetValue/WriteFileだけにOperationを絞ってみるが、解説とは違って自分の方にはこれが起きていなかった。
よく考えるとこれWinXP用の実行ファイルで自分はWin10使ってるのでそもそも実行がうまく行ってない...
とりあえず手法だけ理解できたので次行く。
Q3: network-basedシグネチャ (動的解析)
FlareVMについてるFakenet-NGを起動(powershellでfakenetコマンド打つ)すれば、Wireshark/InetSim/ApateDNSの全機能使ってくれるらしいが、まぁWinXP用の実行ファイルなのでやっても結果得られない...
Lab 3-2
WinXPなので実行できないが、とりあえずDLLの扱い方だけ。
Q1: マルウェアをサービスとしてインストールする
まず、どんな関数をExportしてるのかをpestudioで見る。
いかにもなInstallがあるので、rundll32.exeを使ってインストールしてみる。
rundll32.exe Lab03-02.dll, Install
procexp/procmonを使って実行すると HKLM\SYSTEM\CurrentControlSet\Services\IPRIP が見えるらしく、これがサービス名だとわかるので、
rundll32.exe Lab03-02.dll, installA IPRIP
net start IPRIP
とすればいいが、環境が違うのでできない。