지난 19주차 과제 ( 악성코드 샘플링, 기초 분석 및 탐지 패턴 생성)을 정리하여 악성코드 분석 보고서를 작성하였다.
리팩토링/2. 보안관제
기초 분석샘플 선정Adware.Generic 후보dbdcee0004dbfd8275ac0829d3bca9fce14b67fc3a3b8ea80eb196c511dbcb2c (98)4845ac4d2463baec439182907e66fd1069b9ad7781dfd15d906d0c5200eed852(28)cdce56ba8c1c75ae29b00a49edfe971627fdf38cc086dcd8f1074d3e2dcdbb05 (27)518ed5183136a449ac608c54dd26f896cfcbe52405282fdbfe1ca80b5ce5d6b0 (18) 2aa9f15810e2c55dbc8522e386d76d1a8fb3a63a712b33e17bd2139a7b45c76b (13) 위의 5가지 후보 중 첫 번째 샘플에서 가장 ..
SnortSnort는 Open Source형 IPS (Intrusion Prevention System)이자, IDS (Intrusion Detection System)이다.악성 네트워크 활동을 정의하는 규칙 기반 언어 (rule-based language)로, 1) 일치하는 네트워크 패킷을 탐지하고 2) 사용자에게 경고를 전송한다. 또한, Snort는 해당 패킷들을 정지하기 위해 3) 그때마다 처리하도록 배포("deployed inline")될 수 있다. 주요 기능Snort의 주된 사용처는 세 가지이다.tcpdump 같은 packet sniffer네트워크 트래픽 디버깅에 유용한 packet logger완전히 발달된 IDS, IPS 동작 구조 SnifferSnort IDS를 통과한 패킷을 수집한다.Pre..
기초 분석VirusTotal - AntiVirus engine 검색VirusTotal 조사 결과, 여러 AntiVirus engine이 dgrep.exe를 악성코드 파일로 식별하였다.vbscript.dll이 main 동적 라이브러리인 것으로 확인된다.해당 악성코드는 트로이 목마(trojan) 공격으로 분류되었다.vbscript.dll : Windows 내에서 VBScript (Visual Basic Script) 코드를 실행하는 주요 라이브러리 파일. Microsoft에서 개발되었으며, web 환경의 JavaScript처럼 주로 Windows 환경 내에서 자동화를 위해 사용된다. .vbs 스크립트를 실행하여 VBScript 명령어를 통역해 시스템 자원, 파일 명령어 등과 상호작용하는 역할을 수행한다.UP..
기초 분석VirusTotal - AntiVirus engine 검색가장 먼저 준비된 bton02setup.zip 파일을 VirusTotal에 검색했다. AhnLab-V3, Alibaba, Arcabit 등 다양한 AntiVirus engine이 해당 파일을 위험으로 등록한 것을 확인할 수 있다.VirusTotal - Relations 관련 있는 도메인 주소 : 'a-ton.co.kr'실행 결과 생성되는 파일'bton02setup.exe''DelUS.bat' : UNSETUP.EXE 파일 삭제를 시도한다. 삭제될 때까지 시도한다. 삭제를 마치면 자신도 삭제한다. 정적 분석패킹 여부 검사 - PEiD, Exeinfo PE 패킹 여부를 확인하면, 해당 파일은 1) Microsoft Visual C++ v 환경..
정적 분석 도구 Exeinfo PE (링크)오른쪽 폴더 모양 아이콘을 클릭하여 실행 파일(.exe)을 등록한 후 돋보기 모양을 클릭한다.entry point, file offset, linker info, subsystem, first bytes 등을 확인할 수 있다.가장 주목할 점은 하단의 파란 두 줄로 아래의 사실들을 확인할 수 있다.'해당 파일은 Microsoft Visual C++ ver 5.0/6.0으로 제작되었고','해당 파일은 패킹되지 않았다. (Not packed)'PEiD (링크)PE 실행 파일에서 발견된 packer, cryptor, 그리고 컴파일러를 탐지하는 애플리케이션이다.Entry Point : 프로그램이 시작되는 메모리 주소File Offset : 실제 PE 파일 내부에서 ent..
악성코드 분석용 가상환경 구성하기1. VMware Workstation Pro 17 다운로드 2. Windows 8.1 버전 iso로 가상머신(VM) 생성'Create a New Virtual Machine' VM 내 OS 설치 진행 완료 2. 네트워크 확인 가상머신 네트워크 연결 설정 옵션Host-Only (VMnet1)외부와 단절된 내부 네트워크를 구축하는 것구성된 가상머신 간 통신만 가능함Bridged (VMnet0)공유기로부터 IP를 할당 받는다.호스트 PC와 동일한 네트워크 대역의 IP를 갖는다.공유기를 통해 외부 네트워크와 통신이 가능하다.NAT (VMnet8)호스트 PC로부터 IP를 할당 받는다. 가상머신이 자체 DHCP 서버를 띄워 내부 네트워크 대역 할당 및 통신 수행호스트 PC..
악성코드 분석서론사람들과 기업이 점점 더 기술에 의존함에 따라, 악성코드 또한 점점 기업과 개인들에게 심각한 위해를 끼치는 수준이 되고 있다. 특히, AI 등 신기술의 발전은 범죄자들이 새로운 유형의 악성코드를 만드는 것을 더욱 쉽게 만들고 있다. AV Tech사는 매일 450,000 건의 새로운 유형의 악성코드들이 탐지되었다고 밝혔다. (2023.08) 이렇듯 성장하는 위협에 대처하기 위해 사이버보안 전문가들은 악성코드의 행동과 특징, 그리고 역량을 탐지하고 분석하기 위해 악성코드 분석 기술을 사용한다. 악성 코드 분석 기술에는 정적 분석과 동적 분석의 두 가지 유형이 존재한다.정적 분석코드를 실행하지 않고 악성코드를 분석하는 방법으로, 악성코드의 메타데이터, 구조 등 속성을 파악할 수 있다.(코드를..