본문 바로가기

벌새::Security

악성코드 수집 방법 - 백신에서 진단하지 못하는 샘플 찾기

반응형
악성코드 수집 방법 중에서 가장 센스가 필요한 방법이라고 생각하는 백신에서 진단하지 못하는 샘플을 찾는 방법입니다.

자신이 설치한 백신에서 진단하지 못하는 샘플을 어떻게 감염된 웹페이지에서 추출할 수 있는지 알아보겠습니다.

<주의사항> : 글쓴이의 수집 방식에 전문성이 없음을 양해바랍니다.

<참고사항> : Windows XP SP2 / 웹마 웹브라우저 / F-Secure & AhnLab SpyZero 환경


1. 웹사이트에 방문을 하시면, 웹브라우저의 좌측 하단에서 해당 웹페이지 주소에서 각종 파일을 다운로드 하는 경로를 보여줍니다.

사용자 삽입 이미지

예를 들어서 네이버에 접속을 하는 중에 그림에서와 같이 네이버 도메인과는 상이한 도메인 링크 등이 다운로드 되는 것을 확인할 경우 일단 해당 사이트는 해킹되었거나 악의적으로 악성코드를 유포하는 사이트로 추정할 수 있습니다.

사이트에 접속을 하여도 자신이 사용하는 백신에서 어떠한 것도 감지하지 않고 있다고 가정할 경우는 2가지를 가정할 수 있습니다.

하나. 해당 보안제품에서 진단할 수 없는 변종일 경우
둘. 해당 웹페이지가 해킹이 되었어도 이미 사이트 관리자가 조치를 취해 흔적만 남은 경우


그러면 이런 경우 어떻게 진단되지 않는 샘플을 추출할 수 있을까요?

2. 해당 의심스러운 웹페이지의 모든 소스를 직접 살펴보아야 합니다.

편의상 웹마의 부가기능 중 모든 소스보기를 통해 해당 웹페이지 소스를 열어봅니다.

사용자 삽입 이미지

해당 소스에서 의심되는 부분을 여럿 발견할 수 있습니다.

스크린샷의 iframe으로 삽입된 r.htm 관련 소스를 보면 의심스러운 코드로 여겨집니다.

사용자 삽입 이미지

특히 만약 웹페이지 방문을 하였는데 실제 백신이 샘플 일부를 진단하였더라도 해당 웹페이지에서 모든 악성코드를 진단한다는 법은 없습니다.

이런 경우 추가적으로 악성코드를 찾을 수 있는 방법이 바로 진단한 샘플이 다운로드된 인터넷 임시폴더에서 소스에서 나타난 추가적인 샘플을 확인하는 방법입니다.

사용자 삽입 이미지

실제 테스트에서는 웹사이트 방문에서 일부 샘플을 백신이 진단하였습니다.

진단 샘플명 : ms07004[2].htm - F-Secure 기준 Trojan-Downloader.JS.VML.b

진단된 샘플이 다운로드된 폴더에서는 소스에서 보여진 r.htm 관련 파일을 더 찾을 수 있습니다.

찾은 샘플을 바이러스 토탈을 통해 진단여부를 확인해 보겠습니다.

Antivirus Version Last Update Result
AhnLab-V3 2007.12.29.11 2007.12.29 -
AntiVir 7.6.0.46 2007.12.28 JS/Agent.ES
Authentium 4.93.8 2007.12.29 -
Avast 4.7.1098.0 2007.12.28 -
AVG 7.5.0.516 2007.12.28 Exploit
BitDefender 7.2 2007.12.29 -
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.29 -
DrWeb 4.44.0.09170 2007.12.29 -
eSafe 7.0.15.0 2007.12.27 -
eTrust-Vet 31.3.5410 2007.12.29 -
Ewido 4.0 2007.12.28 -
FileAdvisor 1 2007.12.29 -
Fortinet 3.14.0.0 2007.12.29 -
F-Prot 4.4.2.54 2007.12.28 -
F-Secure 6.70.13030.0 2007.12.28 -
Ikarus T3.1.1.15 2007.12.29 -
Kaspersky 7.0.0.125 2007.12.29 -
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.29 -
NOD32v2 2754 2007.12.28 -
Norman 5.80.02 2007.12.28 -
Panda 9.0.0.4 2007.12.28 -
Prevx1 V2 2007.12.29 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.29 -
Sunbelt 2.2.907.0 2007.12.28 -
Symantec 10 2007.12.29 -
TheHacker 6.2.9.174 2007.12.28 -
VBA32 3.12.2.5 2007.12.26 -
VirusBuster 4.3.26:9 2007.12.28 -
Webwasher-Gateway 6.6.2 2007.12.28 Script.Agent.ES
Additional information
File size: 3261 bytes
MD5: 2347c40e51a0c1b678d3972b4cb47d8f
SHA1: 364ab630061c61d03b3421df1ff7cc679cda4cab

진단결과에서 볼 수 있듯이 거의 대부분의 백신에서 진단할 수 없는 샘플을 추가적으로 추출할 수 있었습니다.

이와같은 방법으로 백신에서 진단하지 못하지만 악성코드인 샘플을 웹사이트에서 추출하는 방법을 알아 보았습니다.

하지만 주의하실 부분이 있습니다.

1. 윈도우 취약점 제로데이가 발표된 상태에서는 되도록 이런 방법은 추천해 드리지 않습니다.

2. 윈도우 보안 업데이트를 완벽하게 하시고 샘플을 모으시길 추천합니다.
728x90
반응형