뭉크테크

목차분석 개요VirusTotalExeinfoPeinfoPEviewBintextProcess ExplorerProcess Monitorcportwiresharksnortautorunssystem explorer악성코드 분석 보고서 분석 개요2009년 11월 6일에 제작되었다. 해당 악성코드는 사용자가 웹사이트 이용시 키워드 검색 광고 및 새로운 탭 창에 광고를 노출시키는 것을 주목적으로 삼고 있다. 해당 악성코드를 샘플로 선정한 이유는 다음과 같다. Adware 및 downloader, spyware 와 같은 특성을 가진 샘플들이 네트워크 통신 행위가 뚜렷하다. IPS Signature Pattern을 제작하기 위해서 앞선 특성이 있어야 하기에 해당 샘플을 선택하였다. File name72f528f9a6b..

목차 winpcap snort xampp AdoDB base Notepad++ snort.conf snort DB 연동 설정 PING 테스트 Winpcap Winpcap: 자신의 컴퓨터 NIC로 흘러 들어오는 패킷들을 확인할 수 있는 윈도우 전용 패킷 분석 프로그램 어플리케이션 계층에서 NIC 직접 접근이 가능하도록 해줌 해당 프로그램이 있어야 Snort에서 패킷을 읽어들일 수 있음 Snort Snort 2.9.2.3 ver 설치 3 버젼은 리눅스 전용이며, 윈도우에서는 2.9.20이 최신 버젼이기는 하지만, 안정적이지 않으며, 오류가 많음 그보다 구버젼인 2.9.2.3은 안정적이며 나아가 자체적으로 스키마 파일을 제공해주는 가장 마지막 버젼이기도함. 설치하는데 딱히 다른 설정 건드리지 않고, Next ..

목차 개요 주요기능 Snort Rule(개요) Snort Rule(Header) Snort Rule(Option) 개요 네트워크 침입 탐지 시스템(NIDS: Network Intrusion Detection System) 네트워크 침입 차단 시스템(NIPS: Network Intrusion Prevention System 마틴 로시가 1998년에 개발 * IDS 종류 - NIDS: 해당 네트워크 망 내에서 트래픽을 분석하여 공격을 탐지하는 기능을 제공. - HIDS: 호스트를 기반으로 한 IDS - DIDS: 여러 원격지 센서가 중앙 관리 스테이션에게 정보를 보내는 형태 주요기능 패킷 스니퍼(Packet Sniffer) : 네트워크 상의 패킷 스니핑 패킷 로거(Packet Logger) : 모니터링한 패..

목차 기초 분석virustotal 정적 분석ExeinfoBintext 동적 분석프로세스  분석Process monitorProcess explorer파일 및 레지스트리system explorerAutoruns 네트워크 분석CportWireshark 결론기초 분석 결론정적 분석 결론동적 분석 결론 대응책기초분석(VirusTotal) 바이러스 토탈에서 조회시, 트로이목마로 추정하며 해당 악성코드로 방향성 잡기 시작 *트로이목마:  악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성행위를 하는 프로그램 UPX로 패킹 처리되어 있다고 추정 * UPX(Ultimate Packer for eXecutables): 여러 운영체제에서 수많은 파일 포맷을 지원하는    오픈 소스..

목차 Virustotal Exeinfo Bintext Autoruns Process monitor Wireshark Smartsniff 결론 virustotal 방향성 목적 virustotal 조회 위협 카테고리상에서 주로 트로이목마나 adware로 주로 탐지됨 4개의 url과 연결되도록 함. 뒤에 kr로 보아 한국 도메인에 속한 사이트로 연결되도록 하는 것 여러 도메인과 연결되도록 코딩됨. 6개의 도메인과 통신되는 것을 확인 후이즈에 조회 결과, 해당 사이트는 한국 도메인에 현재 등록되지 않는 상태 참고로, login.live.com 은 마이크로소프트 로그인창으로 확인 여러개 IP랑 연결되도록 코딩됨을 확인 이중 20.99.184.37과 23.216.147.64이랑 76과 뭔가 통신됐다는 것이 탐지 V..

목차 exeinfo info Bintext Autorun process explorer process monitor snort wireshark Exeinfo 패킹 유무 확인 및 코딩 정보 확인 가능 exeinfo 프로그램은 UPX로 패킹되어 있음을 확인 가능 Bintext 프로그램은 패킹되어 있지 않고, C++로 코딩되어 있음을 확인 Bintext wireshark 프로그램을 이용하여 Exeinfo PE와 Bintext에 돌려봤더니 Exeinfo에서는 언패킹된채 C++로 코딩 언패킹되어있지 않다보니 Bintext에서 wireshark에 관한 정보를 텍스트 형식으로 확인 가능 해당 파일에 임포트된 DLL 정보와 함께 사용된 함수도 파악 가능 해당 파일에 포함된 IP주소와 URL 정보도 파악 가능 proc..

목차 초기 세팅 과정 Snapshot 악성코드 샘플 사이트 초기 세팅 과정 https://www.vmware.com/kr/products/workstation-player/workstation-player-evaluation.html Download VMware Workstation Player | VMware Download VMware Workstation Player for free today to run a single virtual machine on a Windows or Linux PC, and experience the multi-functional capabilities. www.vmware.com vmware 17 설치 링크, 필자는 이미 16이 있으므로 해당 버젼으로 진행 초기화면에서..

목차 정적 분석 개요 정적 분석 장단점 동적 분석 개요 동적 분석 장단점 정적 분석 도구 동적 분석 도구 정적 분석 개요 파일을 실행시키지 않고 분석함 각 파일의 소스코드나 기타 해시 값을 기준으로 파일의 속성을 보여줌 분석 기준이 되는 정보로는 흔히 파일의 종류, 크기, 헤더정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록정보, 디버깅 정보 등이 있음. 정적 분석 장단점 장점 1.프로그램 전체 구조 파악하기 쉬움 프로그램이 어떤 함수로 구성됐고 서로 어떤 호출관계를 갖는지, 어떤 API를 사용하며 어떤 문자열을 포함하는지 등을 종합적으로 파악 가능 2. 분석 환경의 제약에서도 비교적자유로움 실행을 전제로 하는 동적 분석을 윈도우 환경에서 apk를 대상으로 하기는 다소 번거로..

목차 virustotal 기능 virustotal 세부적인 사용 방법(세부 내용 분석 및 활용 방안) virustotal을 이용한 분석 방법 기능 약 90 여 개의 악성코드 검사 엔진을 통해 Domain, IP, URL, file hash를 통해 바이러스 검사를 함. file hash 값을 통해 이전 이력을 볼 수 있음. 한번도 검사 안한 파일은 이력이 안뜸 세부사용 먼저 태블릿 안에 있는 음악 파일을 시험해봤을 때 이상x 다만 파일 타입에 따라서 되는 엔진도 있고, 안되는 엔진들도 있음. 이번에는 URL 테스트를 위해 현 티스토리 블로그의 악성코드에 관한 글로 테스트 맨 처음 음악 파일을 테스트 하고 나서 해당 Hash 값을 이용하여 조회하였을 때 이미 검사한 기록을 보여주기에 빠름 Detail 정보에..

목차 정의 보안관제 구성요소 프로세스 업무 유형 및 특징 보안 업무시 활용하는 웹사이트 정의 고객의 정보 기술 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 맡아서각종 침입에 대해 중앙 관제 센터에서 실시간으로 감시 및 분석, 대응하는 서비스 고객 정보의 보안을 위해 각종 악의적 공격을 자체적으로 혹은 전문 대행 업체를 통해 실시간 감시, 분석, 그리고 대응을 하는 서비스 보안관제 구성요소 1. 네트워크나 시스템에 설치된 에이전트 각종 로그를 쉽게 모니터링하고 분석할 수 있도록 각종 보안장비 및 서버 장비, 호스트들에 에이전트를 설치 에이전트를 통해 해당 장비에 맞게 설정된 로그 정보를 실시간으로 중앙관제센터에 전송 2. 정보수집 서버 정보수집 서버는 각 에이전트에서 보내진 각종 정보를 수집하고..