C&C 서버 다운 시, Wireshark에서 Client가 어떤 데이터를 보내려 했는지 확인 불가
- Client가 보내려 한 데이터 확인 시
악성코드 종류 판별에 도움 데이터만 필요할 경우, C&C와 통신 가능한 다른 악성코드 샘플을 재탐색할 필요 없음 요청 데이터에서 C&C 서버 이름이나 쿼리된 URL 등 네트워크 시그니처 파악 가능
[TCP 연결 과정]
- C&C <-> Client의 데이터 송수신은 대부분 TCP로 이루어짐
- TCP 네트워크 과정에서 Three-Way Handshaking이 선행되어야 데이터 송수신이 가능
[C&C 서버 다운으로 TCP 연결 실패 시]
- C&C 서버가 다운되었을 경우 RST 패킷만 돌아오게 됨
- 이 경우 TCP 연결을 맺지 못하므로 감염된 PC에서 어떤 데이터를 보내려고 했는지 확인 불가
[fakenet 툴을 이용해 가상의 C&C와의 연결 환경 구축]
FakeNet
- Fireeye에서 개발한 악성코드 분석 프로그램
- 악성코드가 정상적으로 C&C와 연결되었다고 착각하도록 환경을 만들어 준다
- 동적 분석이므로 OllyDBG와 같은 툴을 이용해 디버깅하여 데이터 내용을 알아내는 것보다 훨씬 빠름
다운로드 사이트 : https://github.com/mandiant/flare-fakenet-ng/releases
- 악성코드 실행 전, VM환경에서 다운로드한 fakenet.exe 파일 실행
- fakenet 프로그램이 정상 동작할 경우 해당 창이 보여짐
- 이후 악성코드 실행
- 어느정도 실행 후 fakenet.exe 종료
- 이후 fakenet이 설치된 폴더에 들어가면 저장된 pcap 파일 확인 가능
- 저장된 pcap 파일 확인 시 client가 요청한 데이터 내용 확인 가능
- 응답값은 fakenet 자체에서 만든 응답값
'study' 카테고리의 다른 글
| APT 문서형 악성코드 분석 (0) | 2025.11.18 |
|---|---|
| 악성코드 유사성 비교 방법 (0) | 2025.11.18 |
| dnSpy를 이용한 .NET 악성코드 분석 방법 (0) | 2025.11.18 |
| Decompiler - IDA Pro에서 32bit-ARM 악성코드 파일의 Syscall 자동검색 IDAPython 코드 (0) | 2025.11.18 |
| Kimsuky에서 만든 피싱 메일 도구 - MailSending (0) | 2025.11.18 |
