공부/악성코드 분석
-
[악성코드 분석 따라하기 5] 악성코드 식별공부/악성코드 분석 2021. 8. 17. 16:55
정의 식별(Fingerprinting)은 의심스러운 바이너리 내용을 바탕으로 암호 해시 값을 생성하는 활동을 포함한다. - 파일명을 기준으로 악성코드 샘플을 식별하는 것은 동일한 악성코드 샘플이 다른 파일명을 사용할 수 있어 효과적이지 못해 이를 구분 하기위해 암호해시를 이용하여 식별한다. (암호해시는 유일한 식별자) - 동적 분석과정에서 드롭퍼 같은 경우 다른 위치에 자신을 복사하거나 다른 악성코드를 드롭할 수 있다. 이런 경우 새롭게 드롭된 샘플이 원본샘플과 동일한지 식별하는데 암호해시가 도움을 준다. - 파일 해시는 발견한 샘플이 온라인 또는 바이러스 토털과 같은 다중 백신 스캐닝 서비스의 데이터 베이스를 검색해 이전에 탐지된 적이 있는지 판단할 수 있다. VirusTotal www.virustot..
-
[악성코드 분석 따라하기 4] 파일 유형 식별공부/악성코드 분석 2021. 8. 17. 02:42
악성코드를 분석할때 바이너리 파일의 유형을 구분하는 것은 목표 시스템과 아키텍처를 식별하는데 도움된다고 한다. 의심스러운 바이너리가 윈도우 실행파일을 위한 파일 포맷인 PE(Portable Executable) 이라면 해당 프로그램이 윈도우 타깃으로 제작된 사실을 추정가능할 수 있다. -> 윈도우 기반 악성코드 대부분은 .exe , .dll , .sys , .drv , .com ,ocx 등으로 끝나는 확장자를 가진 실행파일이지만 확장자에만 의존하는 것은 권장하지 않는다. (이유는 파일 유형은 유일한 식별자가 아니기 때문이다.) 보통 공격자라면 다른 속임수를 써서 파일 확장자를 수정해 파일을 숨기거나 유저가 실행하도록 유도시킨다. 실제로 관제일을 하면서 메일을 통한 악성코드의 경우 확장자를 .pdf.exe..
-
[악성코드 분석 따라하기 3] 윈도우 VM 환경 설정공부/악성코드 분석 2021. 7. 27. 02:00
구매한 책 내용이 윈도우 환경에서 악성코드의 분석도구와 테크닉을 공부하는 책이므로 실제 근무하는 곳에서도 악성코드, 해킹메일 등을 분석할때 VM을 이용하여 윈도우 환경에서 돌리는 경우가 많다. -> 윈도우 os 설치는 이전글에서 우분투와 함께 적어놨으니 바로 환경 설정으로 넘어가야겠다 1. 파이썬 설치 이 책에서는 대부분의 스크립트가 python 2.7 버전에서 동작하도록 작성되어있다. 따라서 최신버전 설치시 일부 동작하지 않을 수 있다. 파이썬 설치페이지로 들어가서 해당 버전을 다운받도록 하자! Python Release Python 3.9.6 The official home of the Python Programming Language www.python.org 2. 호스트 전용 네트워크 설정 vm ..
-
[악성코드 분석 따라하기 0] vmware OS 설치공부/악성코드 분석 2021. 7. 27. 00:59
이 책을 실습하기전에 우분투와 윈도우 OS를 먼저 설치해야한다. vmware나 vm머신에 직접 이미지 파일로 설치해도 좋지만 시간이 너무 오래걸린다. google에 vmware ubuntu image 또는 window 10 vmware image 라고 검색하면 가상머신용 이미지 파일로 제공되는 파일을 다운받아 바로 이미지를 로드하는것이 훨씬 빠르고 효율 좋다. (윈도우의 경우) 윈도우 10의 경우 공식 홈페이지에서 제공한다. https://developer.microsoft.com/ko-kr/windows/downloads/virtual-machines
-
[악성코드 분석 따라하기 2] 우분투 InetSIm 환경 설정공부/악성코드 분석 2021. 7. 22. 13:39
1. VM에서 네트워크 설정을 Host-Only로 설정한다. 2. sudo vi /etc/network/interfaces 명령을 통해 고정 IP주소 할당 후 재부팅 한다. (각 사용환경에 맞게 인터페이스 이름을 설정해야한다.) vi 편집기가 익숙하지 않으면 gedit을 사용하면 윈도우 메모장 처럼 수정이 가능하다. 3. INetSim에서 지정된 주소로 모든 서비스를 리스닝하고 시뮬레이션 할 수 있도록 리스닝 하고있는 로컬인터페이스를 설정한 주소로 변경해줘야한다. sudo vi /etc/inetsim/inetsim.conf에서 "service_bind_address" , "dns_default_ip" 란을 다음 같이 수정한다. inetsim을 실행할때 이미 실행중이라는 상태가 출력될때가 있는데 /var/..
-
[악성코드 분석 따라하기 1] Ubuntu Desktop 환경에서 inetsim 설치공부/악성코드 분석 2021. 7. 15. 19:53
악성코드 분석 시작하기라는 책을 구매해서 공부 중이었는데 책을 실습하면서 과정을 기록해놓으려고 한다. 이 책을 공부하는 이유는 악성코드 신고가 들어온 후 추후에 쉽게 파악하기 위한 Snort 룰을 만들기 위해 분석능력을 키워보고 싶었다. 그냥 바로 apt-get install inetsim으로 설치되면 편하겠지만.. 바로 안된다. https://www.inetsim.org/packages.html INetSim: Internet Services Simulation Suite - Installation packages Installation packages Debian GNU/Linux, Ubuntu Linux For users of Debian GNU/Linux or Ubuntu Linux, an arc..