WEBVTT 00:00.410 --> 00:01.110 돌아온 것을 환영합니다. 00:01.130 --> 00:07.490 이전 동영상에서 멀웨어를 실행하기 전에 사용할 도구를 이미 설정했습니다. 00:07.880 --> 00:10.660 이 동적 분석에서는 00:10.670 --> 00:13.340 이 동영상에서는 계속 진행하겠습니다. 00:15.930 --> 00:17.280 여기서 참고하세요. 00:17.280 --> 00:18.630 이제 실행할 준비가 되었습니다. 00:18.630 --> 00:26.880 이제 앞서 일시 중지했던 캡처를 켜고 원하는 경우 여기의 도구로 이동하여 이 가상 00:26.880 --> 00:34.350 머신에서 이 운영 체제에서 실행 중인 프로세스의 세부 정보를 볼 수 있는 00:34.350 --> 00:39.180 프로세스 트리를 살펴볼 수도 있습니다. 00:39.850 --> 00:46.660 명령 열 아래에서 프로세스 자체를 시작한 명령줄과 해당 명령줄에 대한 매개변수가 있는 00:46.660 --> 00:49.840 경우 이를 확인할 수도 있습니다. 00:50.380 --> 00:50.770 알겠습니다. 00:50.770 --> 00:53.080 이제 이 문제는 일단락하겠습니다. 00:53.080 --> 00:56.530 이제 멀웨어를 폭파해 보겠습니다. 00:57.370 --> 01:05.170 따라서 멀웨어가 발견된 폴더로 돌아가서 을 사용하여 멀웨어를 클릭합니다. exe 확장자를 사용합니다. 01:06.570 --> 01:09.510 그리고 보시다시피 즉시 실행이 시작됩니다. 01:10.260 --> 01:14.970 그리고 여기를 보면 프로세스를 생성한 것도 표시되지 01:15.000 --> 01:16.530 않습니다. 01:17.460 --> 01:25.110 그리고 와이어샤크를 보면 어디에서도 통신을 시도하지 않는 것 같습니다. 01:25.530 --> 01:30.270 이제 프로세스 모니터를 통해 어떤 일이 일어나고 있는지 살펴보겠습니다. 01:31.160 --> 01:32.720 조금만 열면 됩니다. 01:33.560 --> 01:36.230 목록이 길기 때문에 아래로 스크롤하여 01:36.890 --> 01:39.640 현재 무엇을 하고 있는지 확인하세요. 01:39.650 --> 01:43.970 따라서 하단으로 스크롤하여 현재 수행 중인 작업을 확인할 수 있습니다. 01:44.780 --> 01:48.050 이제 여기에서 '이메일'을 읽으려고 하는 것을 볼 수 있습니다. txt". 01:49.160 --> 01:50.360 이메일. txt. 01:50.660 --> 01:52.040 자, 더 위로 스크롤해 보겠습니다. 01:52.810 --> 01:59.380 애플리케이션이 제대로 시작되지 않았다는 메시지가 나타나면서 닫으라는 메시지가 표시될 수 있습니다. 01:59.380 --> 02:00.160 닫지 마세요. 02:00.160 --> 02:00.550 그냥 02:00.700 --> 02:01.960 무시하세요. 02:01.990 --> 02:03.670 분석을 계속합니다. 02:03.860 --> 02:11.140 또한 '브라우저'를 찾고 있는 것을 볼 수 있습니다. txt"를 클릭한 다음 더 흥미로운 내용을 찾기 위해 계속 02:11.140 --> 02:12.880 위로 스크롤합니다. 02:13.300 --> 02:16.390 그리고 여기 '이메일'이 있습니다. txt". 02:16.600 --> 02:20.620 아마도 이메일 정보를 훔치려는 것 같습니다. 02:20.890 --> 02:32.560 또한 메시지나 메시징 서비스, 이메일 ID, Outlook 프로필을 찾는 증거도 있습니다. 02:34.030 --> 02:35.470 사용자 이름도 마찬가지입니다. 02:36.670 --> 02:44.080 계정, 계정 낚시, 컴퓨터 이름도 마찬가지입니다. 02:44.620 --> 02:46.300 여기 썬더버드가 보입니다. 02:46.330 --> 02:48.160 메일 클라이언트인 Mozilla 메일 02:49.090 --> 02:50.110 클라이언트입니다. 02:51.430 --> 02:51.990 알겠습니다. 02:52.000 --> 02:57.550 멀웨어가 종료된 것일 수 있기 때문에 많은 것을 발견하지 못했습니다. 02:58.090 --> 03:05.020 어쨌든 멀웨어가 종료되지 않았다면 멀웨어가 훔치려던 정보에 대해 훨씬 더 많은 정보를 발견할 수 03:05.020 --> 03:06.600 있었을 것입니다. 03:06.610 --> 03:15.370 예를 들어, Firefox 및 Chrome 비밀번호는 물론 다른 비밀번호도 마찬가지입니다. 03:16.210 --> 03:22.280 이제 메모리에서 문자열을 찾기 위해 문자열을 살펴 보겠습니다. 03:22.300 --> 03:31.000 프로세스 해커로 이동하여 프로세스를 두 번 클릭하고 메모리 탭으로 이동한 다음 문자열 버튼을 03:31.300 --> 03:35.710 클릭한 다음 확인을 클릭할 수 있습니다. 03:36.680 --> 03:40.100 그래서 여기서는 모든 종류의 HTTP를 찾고 있습니다. 03:41.660 --> 03:44.660 아래로 스크롤하여 찾을 수 있는지 확인해 보세요. 03:45.320 --> 03:48.020 그리고 우리는 여기서 바로 많은 것을 발견했습니다. 03:48.050 --> 03:51.770 POP3, IMAP 비밀번호, HTTP, 이메일 비밀번호, 03:51.830 --> 03:54.050 SMTP 비밀번호도 가능합니다. 03:54.290 --> 03:56.840 따라서 이것이 훔치려는 것일 수 있습니다. 03:57.890 --> 04:01.700 Gmail과 야후 계정 비밀번호도 찾을 수 04:02.520 --> 04:03.660 있습니다. 04:03.690 --> 04:06.750 Google의 로그인 이름과 비밀번호입니다. 04:07.890 --> 04:12.870 그리고 여기에 NSS3 암호화 API를 사용하고 있다는 증거가 있습니다. 04:13.110 --> 04:17.700 그리고 이 NSS3는 Firefox에서 비밀번호를 암호화하는 데 사용됩니다. 04:17.700 --> 04:21.840 따라서 Firefox 비밀번호를 훔치는 것으로 보입니다. 04:22.200 --> 04:30.390 그리고 아마도 Chrome 비밀번호의 해독된 비밀번호에 액세스하려는 SQLite3도 있습니다. 04:31.260 --> 04:34.850 Mozilla 메일 클라이언트인 썬더버드도 있습니다. 04:35.090 --> 04:40.100 따라서 메일 클라이언트 비밀번호, 이메일 비밀번호를 훔치려는 것일 04:40.400 --> 04:41.450 수 있습니다. 04:42.020 --> 04:47.780 이제 HTTP를 필터링하여 명령 및 제어 서버를 찾을 수 있는지 확인해 보겠습니다. 04:47.900 --> 04:52.610 HTTP를 입력하고 확인을 클릭하기만 하면 됩니다. 04:53.710 --> 04:55.600 그리고 아무것도 나타나지 않는 것 같습니다. 04:55.990 --> 05:04.480 이는 프로그램이 여기서 HTTP 서버를 로드하기 전에 종료되었기 때문일 수 있습니다. 05:05.170 --> 05:08.230 그리고 NSIS(Nullsoft 스크립트 가능 설치 시스템)에 대한 참조를 볼 수 있습니다. 05:08.260 --> 05:17.530 이것은 복호화 소프트웨어일 수 있으며, 임베디드된 . exe가 이 멀웨어에 포함되어 05:17.530 --> 05:19.900 있습니다. 05:20.350 --> 05:28.970 이제 우리는 기본적으로 이메일과 브라우저 비밀번호를 훔치는 것이 목적이라는 것을 잘 알 수 있습니다. 05:28.990 --> 05:34.470 이제 다음 단계로 정적 분석을 살펴보겠습니다. 05:34.480 --> 05:36.400 시청해 주셔서 감사합니다. 05:36.400 --> 05:38.080 다음 편에서 뵙겠습니다.