[악성코드 분석] VM 설정

주의사항 

1) VM 세팅 후 snapshot 생성 권고

2) 네트워크는 호스트 전용으로 설정

3) 공유 폴더는 필요한 것만 받고 비활성화

4) VM은 최신 버전을 사용할 것

 

기본 세팅

1) Windows 설치 후 서비스 종료

- 윈도우 디펜더, 자동 업데이트 끄기, 방화벽은 적절히 정책 관리하던지 OFF

 

2) SET-ExecutionPolicy을 통해 실행 정책 수정(Flare VM 설치 시 필요)

- 모든 파일이나 스크립트가 차단 및 승인 없이 실행되도록 설정

* 방법: powershell "SET-ExecutionPolicy Unrestricted" 

 

3) ASLR(Address Space Layout Randomization) 종료

- ASLR은 메모리 손상 취약점 악용을 방지하는 기술

* 방법: 검색 " regedit" - "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" - 우클릭 "새로 만들기" - REG_DWORD(32bit) 값 - 키 이름 "MoveImages" 생성

4) Flare Vm 설치 

- 여러 분석 도구 설치

* 방법: https://github.com/mandiant/flare-vm 참고

=> 설치하다가 에러가 나서 포기^___ㅠ

 

 

VM을 실제 PC로 위장하기

1) 리소스(RAM, CPU, DISK)를 충분히 할당

 

2) 아무 프로세스도 동작하지 않으면 의심 받으니 몇몇 프로세스 설치(ninite 사용 가능)

 

3) Virtualbox Guest additions 및 Vmware Tool 삭제
    3-1) Virtualbox의 경우 내 컴퓨터 - 드라이브 우클릭 꺼내기[eject])
    3-2) Program Files - Oracle - Virtualbox Guest Addtions - uninst

 

4) Fakenet 이라는 도구를 통해 온라인 연결된 것처럼 연기
     4-1) fakenet을 관리자 권한 실행
     4-2) cfg 파일을 수정하여 트래픽 덤프 확보 가능

 

5) Windows 호스트 이름 변경

- 호스트 명을 검사하고 동작을 중지하는 악성코드 존재

* 방법: 검색 "설정" - 시스템 - 이 PC의 이름 바꾸기