전체 글 (15) 썸네일형 리스트형 Snort Snort 공부 목적 - Snort가 가지고 있는 Rule Signature 기능을 통해서 탐지 패턴을 만드는 방법을 익히는것이 중요하다 - 분석하고 있는 악성코드는 분석에서만 마무리가 되기 보다는 탐지하는 패턴을 직접 만들어 보고 탐지패턴을 Snort에 넣었을때 악성코드가 탐지가 되는지 확인하는 과정을 연습해야 한다 Snort : 시그니처 기반 탐지 시스템으로서 패턴과 매칭이 될 경우 탐지되는 시스템 -> 현재까지도 침입 탐지 시스템(IDS) 중 가장 널리 사용되고 있는 시스템 Snort 의 3가지 기능 - Sniffer : 네트워크 트래픽 캡쳐 - Packet Logger : 나중에 분석할 수 있도록 네트워크 트래픽을 파일에 기록 - IDS / IPS : 네트워크 트래픽을 분석 후 침입 탐지 및 차단.. 악성코드 분석 보고서 작성 연습 보안 분야는 보고서를 작성해야하는 일이 많습니다 워드를 사용하여 지난 시간에 분석했던 dgrep.exe 파일 분석 보고서를 작성해 보았습니다 워드 작성이 익숙하지 않아서 작성하는데 어려움이 있었습니다 더 좋은 보고서를 만들기 위해 꾸준한 연습이 필요하다고 느꼈습니다! 악성코드 샘플 분석2 분석 파일 : dgrep.exe - 실행파일 - 만든 날짜가 오래됐다(원활하게 동작하지 않을 가능성도 있다) 기초분석 Virustotal - 72개의 백신 중 66개의 백신이 악성 파일로 진단 - 진단명 : Trojan(트로이목마), win32, Packed, Backdoor, downloader *트로이 목마 : 악성 루틴이 숨어 있는 프로그램으로, 정상적인 프로그램을 보이지만 실행하면 악성행위를 하는 프로그램 *backdoor : 히든 엑세스를 제공하여 외부 공격자가 무단으로 시스템에 접근하고 제어할 수 있게 하는 악성 소프트웨어) -> 해당 파일은 backdoor, trojan, downloader 계열의 악성코드일 가능성이 높고, 패킹 처리가 되어있으며 win32에서 구동될 것으로 추정할 수 있었.. 악성코드 샘플 분석 기초 분석 Virustotal - 52개의 백신에서 악성코드 진단 - Trojan, adware, Downloader 등 악성코드 발견 - win32를 통해 window 환경에서 실행되는 파일 형태임을 추정 - 트로이 목마 성격과 광고 목적의 애드웨어, 인터넷 등을 통해 다운로드 할 수 있는 악성코드로 추정 정적 분석 Exeinfo PE - Microsoft Visual C++을 통해서 코딩이 된 것을 확인할 수 있고, Not packed를 통해서 패킹이 되지 않음을 확인할 수 있다 - virustotal의 결과값과 해쉬 값이 일치하는 것을 확인할 수 있다 Bintext - Bintext를 통해서 파일경로, 도메인, 파일이 어떻게 실행되는지 확인할 수 있다 - a-ton.co.kr 도메인 주소를 통해 어.. 정적, 동적 Tool 실습 악성코드 분석 도구는 크게 정적 도구와 동적 도구로 나눌 수 있다 정적 분석 : 안에 있는 문자열, 명령어, 구조의 형태를 보기 위한 분석 -> 악성코드를 실행시키지 않는다고 해서 안심하지 않고 가상 환경에서 실행한다 동적 분석 : 직접 악성코드를 실행하면서 실행시키기 전과 후의 차이를 비교하는 분석 정적 분석 도구 Exeinfo(이엑스이인포) : 패킹 유/무를 확인할 수 있는 도구 정적 분석을 진행하기전에 파일의 암호화 여부를 확인해야한다 -> 악성코드 안에 있는 문자열, 명령어들을 기본적으로 읽지 못하게 암호화시키는 경우가 많다(= 패킹) -> 정적분석 진행할때 제일 먼저 사용하는 도구 -> 패킹이 되어 있다면 언패킹을 통해 안에 있는 내용들을 평문으로 볼 수 있도록 하는 과정이 제일 먼저 진행되어야.. 샘플 분석 환경 구성과 Search Vmware 가상 환경 구성 Vmware 15.5 설치 시작 'install' 클릭하여 진행 Vmware 설치 완료 Vmware 15.5의 홈 화면 Create a New Virtual Machine을클릭하여 가상 머신 생성 -> Typical, custom 중 쉽게 구성이 가능한 Typical 선택 운영체제 설치방법 선택-> Installer disc image file을 선택하여 iso 파일을 선택 윈도우 제품 키를 넣는 창은 Next를 눌러 넘어간다 -가상 환경 이름을 설정(나중에 변경 가능) - Location에 저장할 경로를 정해준다(여유 공간이 충분한 E드라이브로 지정) - 기본 설정으로 되어있는 60GB로 설정 - 특별한 경우 아니면 성능이 더 좋은 Single로 설정 -Finish를 눌러서.. 악성코드 정적분석 동적분석 악성코드 분석에는 크게 3가지로 나눌 수 있다 기초분석, 정적분석, 동적분석 기초분석도 악성코드를 실행시켜서 하는 형태가 아니기 때문에 정적분석 범위안에 들어갈 수 있다 정적분석 - 악성코드를 실행하지 않고 악성코드의 코드와 리소스를 분석하는 방법 정적분석 특징 - 파일의 해시 값, 문자열 패턴, 메타데이트 등을 확인할 수 있다 - 비교적 안전한 분석 방법이지만 악성코드를 실행하는 코드를 다루기 때문에 가상 환경에서 진행을 해야한다 동적분석 - 악성코드 실행 전후 상태를 분석 및 조사하여 프로그램의 기능을 파악하는 방법 동적분석 특징 - 프로그램을 분석하는데 가장 직관적인 방법 - 악성코드를 직접적으로 실행시키기 때문에 가상 환경에서 진해을 해야한다 - 확실한 분석을 위해 2회 이상 분석해준다 분석 과정.. Virustotal Virustotal 의 기능 - 악성 코드 검사 웹페이지 - 70여개의 악성 코드 검사 엔진으로 의심스러운 File, URL, Domain, IP 를 무료로 분석 해주는 웹페이지 - 광범위한 악성 코드 및 서명 DB를 보유하고 있기에, 이전 악성 코드 검사 기록을 확인할 수 있다 File Tab - 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose File 을 클릭해 파일을 업로드 할 수 있다 URL Tab - 텍스트 박스에 특정 URL을 입력해 해당 URL이 악성인지 아닌지 파악할 수 있다 Search Tab - URL, IP, Domain, File Hash 를 통한 분석으로 URL Tab의 연장선으로 볼 수 있다 - 과거에 검색했던 파일의 경우 해시값 입력을 통해 이전의 검사 기록을 확인할.. 이전 1 2 다음
