피드로 돌아가기
Dev.toSecurity
원문 읽기
Anti-Analysis 기법 무력화를 통한 악성 페이로드 정밀 추출 및 분석
Malware Unpacking & Anti-Analysis Bypass: A Deep Dive into Real-World Techniques
AI 요약
Context
최근 Malware는 Packing, Anti-debugging, Sandbox Evasion 기술을 다층적으로 적용하여 정적 분석을 회피함. 단순 실행으로는 C2 URL 및 IOC(Indicator of Compromise) 식별이 불가능한 구조적 제약 존재.
Technical Solution
- IsDebuggerPresent API의 반환 값을 제어하는 Conditional Jump 문을 NOP(No Operation)로 Patch 하여 Debugger 탐지 로직 무력화
- XORSearch 및 brxor.py를 활용한 XOR Key 식별 및 복호화를 통해 은닉된 C2 서버 IP와 Affiliate ID 추출
- IDA Pro의 Stack String 분석 및 strdeob.pl을 통한 런타임 문자열 생성 로직의 정적 복원
- RtlDecompressBuffer 및 VirtualAllocEx API 호출 패턴 추적을 통한 메모리 내 Unpacking 및 Process Hollowing 지점 식별
- Scylla 및 OllyDumpEx를 사용하여 메모리에 로드된 Unpacked Payload를 덤프하여 정적 분석 가능 상태로 전환
실천 포인트
- API 호출 패턴(VirtualAllocEx → WriteProcessMemory → ResumeThread)을 통한 Process Hollowing 징후 포착 - Anti-debugging 루틴 발견 시 분기문 Patch를 통한 실행 흐름 강제 제어 - 단순 String 추출 실패 시 XOR 기반의 다중 키 검색 및 Stack String 분석 수행 - Unpacking 지점 식별을 위해 RtlDecompressBuffer 등 메모리 할당/압축 해제 API에 Breakpoint 설정