[스피어피싱] 9강 쉘코드 API 해시 패턴매칭_YARA 룰셋

1. 실습

분석할 대상

 

위의 파일들에 대해 YARA 룰셋을 이용하여 API 해시 매턴 매칭을 진행한다.

* 분석 시 문자열 추출(Strings 같은 툴 이용) 해보고 유의미한 결과 얻지 못할시 API 해시 매치 시도하면 좋음

 

YARA 룰셋 파일

 

YARA 룰셋이 두개가 확인된다. 

이전 강의 시간에 API 해시란 특정 API를 해시 함수를 이용해 해시화 한 것이란걸 말했다.

 

여기서 중요한건 같은 API라 할지라도 어떤 해시 함수를 사용하느냐에 따라 결과 값이 달라진다는 것이다.

 

그렇기에 apirule.yara 파일은 여러가지 해시 함수에 대한 결과를 가지고 있는 파일, api_hash_ror13add.yara 파일의 경우 ror13add 해시 알고리즘을 이용하여 API 해쉬화한 패턴들에 대해서 가지고 있는 파일이다.

 

apirule.yara 파일을 사용하지 않는 이유는 가지고 있는 패턴이 많은 만큼 패턴 매칭하는데 오래걸리기 때문이다.

 

YARA 룰셋 구성

 

YARA 룰셋 매칭 시작

 

명령어를 통하여 YARA룰 매칭을 시도하였고 결과 값을 반환받았다.

 

분석 대상 파일 결과

 

이를 통해 위 4개의 쉘코드들이 어떠한 API를 이용하는지 확인 할 수 있다.