악성코드의 감염경로는 실로 다양하다.

Active X, 메신저, E-mail, USB 등으로 우리가 손쉽게 접할 수 있는 환경이다.

지금부터 여러 가지 악성코드 유포방법 중, 실행파일로 악성코드를 유포하는 원리와 분석 방법에 대하여 알아보자.

그 전에, Windows PE구조와 Packer에 대한 지식이 필요하다.

Win32 Platform에서 실행 가능한 파일을 PE(Portable Excutable) 파일이라고 부른다. 우리가 많이 보는 실행파일인 EXE파일과 동적라이브러리(DLL) 파일을 예로 들 수 있다.

Packer는 PE파일을 실행 가능한 형태로 파일을 압축시켜주는 프로그램을 통 털어서 말하고, 그 종류에는 압축시키면서 프로텍팅(Anti-Debugging, 암호화 등)을 해주는 프로텍터와 단순히 파일 사이즈만 줄여주는 패커 등이 있다.
 

※ 여기서 잠깐!

악성코드를 분석하는데 저런걸 왜 알아야 할까? 그냥 코드나 보면서 분석하면 되지 않을까? 이런 의문점이 드는 사람도 있을 것이다.

대부분의 악성코드는 ‘자기가 컴퓨터에서 어떤 일을 수행하는지 모르게 활동해야 한다.’라는 사명감이 있다. 그래서 악성코드 제작자는 악성코드 스크립트 또는 프로그램을 분석가가 분석하지 못하게 암호화하고 Anti-Debugging기술을 탑재해야 하고 PE구조를 이용하여 코드를 비꼬는 것이다.

백신업체에서 근무하는 분석가들이 Unpacking하여 분석하는 시간을 길게 하여 그 만큼 악성코드의 활동시간을 늘리는 것이다.(와..나쁜 악성코드 같으니라고..!!)

오늘은 Packer의 종류와 대표적인 Packer의 활용법에 대해서 다루겠다.

인터넷상에 떠도는 Packer의 종류는 수십~수백개가 존재한다.

필자의 업무 중 하나는 인터넷상에 떠도는 Packer를 수집하여 샘플을 Packing하는 일이 있다. Packing을 한 샘플을 Ollydbg나 IDA를 이용해 원본 샘플과 비교하여 어떻게 Packing이 되었고, 어떤 기술을 이용했는지 Unpacking하여 분석하는 것이다.

위에서 잠깐 언급했던 Packer의 종류에는 Armadillo, MoleBox, YodaCrypter, Themida, Pecompact 등 프로텍션 기능이 포함된 패커와 UPX, Aspack 등 단순 암호와 파일사이즈를 줄여주는 패커 들이 있다.

사용자들이 많이 쓰는 Packer인 Armadillo에 대하여 자세히 알아보자.

Armadillo는 09.03.23 현재 6.40 release버전까지 출시되었다.

http://www.siliconrealms.com/software-passport-armadillo.html 

이곳에서 다운받을 수 있다.

그림1. Armadillo Project 실행화면

2. 자기가 원하는  Protection Options을 선택 할 수 있다. Debug-Blocker옵션이 눈에 띈다.

그림2. Protection Options 선택

3. 자기가 원하는 Compression Options을 선택 할 수 있다. 압축률을 지정한다.

그림3. Compression Options 선택

그림4. Protecting 수행

5. Protecting 완료

그림5. Protecting Success !