![]()
개요OSI 는 Open Systems Interconnection의 약자로, 컴퓨터 네트워크 아키텍처를 설명하기 위한 개념적 모델이다. OSI 7 계층은 다음의 이점을 제공한다. 모듈화독립적으로 설계되어 특정 기능을 수행하므로, 계층 간의 관련성(결합도)을 낮춰 모듈화를 가능하게 한다.이는 개발, 유지보수, 업그레이드, 장비 교체 등을 용이하게 만든다.상호 운용성표준화된 프로토콜과 인터페이스를 사용하여 상호 운용성을 제공한다.이는 다른 장치나 시스템 간에 데이터를 교환하고 통신할 수 있게 만든다.유연성독립적으로 개발되고 업데이트할 수 있기 때문에, 네트워크 통신의 특정 부분만 변경/개선하는 것이 가능하다.문제 해결 및 디버깅각 계층의 독립성으로 인해 문제를 특정 계층으로 한정시켜 진단하고 해결할 수 있다..
![]()
기초 분석샘플 선정Adware.Generic 후보dbdcee0004dbfd8275ac0829d3bca9fce14b67fc3a3b8ea80eb196c511dbcb2c (98)4845ac4d2463baec439182907e66fd1069b9ad7781dfd15d906d0c5200eed852(28)cdce56ba8c1c75ae29b00a49edfe971627fdf38cc086dcd8f1074d3e2dcdbb05 (27)518ed5183136a449ac608c54dd26f896cfcbe52405282fdbfe1ca80b5ce5d6b0 (18) 2aa9f15810e2c55dbc8522e386d76d1a8fb3a63a712b33e17bd2139a7b45c76b (13) 위의 5가지 후보 중 첫 번째 샘플에서 가장 ..
![]()
정의보안 분야에서 Signature는 해를 거쳐 다양한 의미로 사용되었다.하지만 Snort에서 Signature는 "공격(exploit)에 존재하는 고유한 표시(mark)나 특징들에 기댄 여러 탐지 방식"을 의미한다. 특징이러한 Signature 들은 특히 알려진 공격 방식을 탐지하기 위해 설계되었는데, 이는 이들이 실제로 취약점을 공격하는 것과 연관이 있을 수도 있는 ego string, 고정된 offset, debugging 정보 같은 고유한 mark를 포함하고 있기 때문이다. 실제 public 공격 방식이 이런 유형의 탐지가 동작하는 방식에 필수적이기 때문에, 해당 탐지 유형은 일반적으로 사후탐지 (day-after detection) 로 분류된다. Anti-Virus 회사들은 virus 발생 시 ..
![]()
SnortSnort는 Open Source형 IPS (Intrusion Prevention System)이자, IDS (Intrusion Detection System)이다.악성 네트워크 활동을 정의하는 규칙 기반 언어 (rule-based language)로, 1) 일치하는 네트워크 패킷을 탐지하고 2) 사용자에게 경고를 전송한다. 주요 기능Snort의 주된 사용처는 세 가지이다.tcpdump 같은 packet sniffer네트워크 트래픽 디버깅에 유용한 packet loggerFully-developed IDS, IPS 동작 구조 SnifferSnort IDS를 통과한 패킷을 수집한다.Preprocessor효율적인 공격 탐지를 위해 plugin을 거쳐 매칭을 확인한다.Detection EngineSn..
지난 15주차 과제 ('dgrep.exe' 악성코드 분석)을 정리하여 악성코드 분석 보고서를 작성하였다.
![]()
기초 분석VirusTotal - AntiVirus engine 검색VirusTotal 조사 결과, 여러 AntiVirus engine이 dgrep.exe를 악성코드 파일로 식별하였다.vbscript.dll이 main 동적 라이브러리인 것으로 확인된다.해당 악성코드는 트로이 목마(trojan) 공격으로 분류되었다.vbscript.dll : Windows 내에서 VBScript (Visual Basic Script) 코드를 실행하는 주요 라이브러리 파일. Microsoft에서 개발되었으며, web 환경의 JavaScript처럼 주로 Windows 환경 내에서 자동화를 위해 사용된다. .vbs 스크립트를 실행하여 VBScript 명령어를 통역해 시스템 자원, 파일 명령어 등과 상호작용하는 역할을 수행한다.UP..
![]()
기초 분석VirusTotal - AntiVirus engine 검색가장 먼저 준비된 bton02setup.zip 파일을 VirusTotal에 검색했다. AhnLab-V3, Alibaba, Arcabit 등 다양한 AntiVirus engine이 해당 파일을 위험으로 등록한 것을 확인할 수 있다.VirusTotal - Relations 관련 있는 도메인 주소 : 'a-ton.co.kr'실행 결과 생성되는 파일'bton02setup.exe''DelUS.bat' : UNSETUP.EXE 파일 삭제를 시도한다. 삭제될 때까지 시도한다. 삭제를 마치면 자신도 삭제한다. 정적 분석패킹 여부 검사 - PEiD, Exeinfo PE 패킹 여부를 확인하면, 해당 파일은 1) Microsoft Visual C++ v 환경..
![]()
정적 분석 도구 Exeinfo PE (링크)오른쪽 폴더 모양 아이콘을 클릭하여 실행 파일(.exe)을 등록한 후 돋보기 모양을 클릭한다.entry point, file offset, linker info, subsystem, first bytes 등을 확인할 수 있다.가장 주목할 점은 하단의 파란 두 줄로 아래의 사실들을 확인할 수 있다.'해당 파일은 Microsoft Visual C++ ver 5.0/6.0으로 제작되었고','해당 파일은 패킹되지 않았다. (Not packed)'PEiD (링크)PE 실행 파일에서 발견된 packer, cryptor, 그리고 컴파일러를 탐지하는 애플리케이션이다.Entry Point : 프로그램이 시작되는 메모리 주소File Offset : 실제 PE 파일 내부에서 ent..
![]()
악성코드 분석용 가상환경 구성하기1. VMware Workstation Pro 17 다운로드 2. Windows 8.1 버전 iso로 가상머신(VM) 생성'Create a New Virtual Machine' VM 내 OS 설치 진행 완료 2. 네트워크 확인 가상머신 네트워크 연결 설정 옵션Host-Only (VMnet1)외부와 단절된 내부 네트워크를 구축하는 것구성된 가상머신 간 통신만 가능함Bridged (VMnet0)공유기로부터 IP를 할당 받는다.호스트 PC와 동일한 네트워크 대역의 IP를 갖는다.공유기를 통해 외부 네트워크와 통신이 가능하다.NAT (VMnet8)호스트 PC로부터 IP를 할당 받는다. 가상머신이 자체 DHCP 서버를 띄워 내부 네트워크 대역 할당 및 통신 수행호스트 PC..
