🥨 악성코드의 Anti-VM 무력화 프로젝트 🥨

• 매년 기존의 악성코드양 뿐만아니라 새로 생성되는 악성코드의 양도 동시에 증가.

• 70가지 이상의 바이러스 검사 소프트웨어 제품을 사용하여 악성코드를 검사해주는 **Virus Total** 과 **맥아피**의 2017년도 6월 보고서에 따르면 **안티 샌드박스** 회피 기법을 사용하는 악성코드 비율이 두드러짐. (링크)

• 악성코드를 동적 분석할 때 로컬 환경보다 가상 환경을 취약하게 구성을 하고(샌드박스) 그 환경에서 악성 프로그램이 동작하게하여 분석한다. 악성코드는 윈도우 API를 이용하여 가상 환경을 탐지한다. 이런 행위를 무력화 하기 위해 프로젝트 주제로 선정하였다.

Anti-VM 행위를 하는 악성코드 141개를 수집하여 Cuckoo Sandbox가 동적분석을 진행할 때 각 프로세스에 Dll을 인젝션하기 전과 후를 비교하였다. 점수의 변화가 있는 악성코드는 70% 정도였다.

Pafish는 해당 환경이 가상환경인지 아닌지를 탐지해주는 오픈소스이다. Cuckoo Sandbox 에 DLL을 삽입하는 프로그램을 실행하기 전과 후 결과를 보면 다음과 같았다.

traced 는 해당 프로그램이 동작하는 환경이 가상환경임을 알려주는 표시이다. OK 는 일반적인 로컬 환경임을 알려주는 표시이다. dll을 인젝션하여 해당 환경이 가상 환경이지만 로컬 환경인 것처럼 속인 것을 확인할 수 있었다.

• 리버싱 핵심원리