목차 Virustotal Exeinfo Bintext Autoruns Process monitor Wireshark Smartsniff 결론 virustotal 방향성 목적 virustotal 조회 위협 카테고리상에서 주로 트로이목마나 adware로 주로 탐지됨 4개의 url과 연결되도록 함. 뒤에 kr로 보아 한국 도메인에 속한 사이트로 연결되도록 하는 것 여러 도메인과 연결되도록 코딩됨. 6개의 도메인과 통신되는 것을 확인 후이즈에 조회 결과, 해당 사이트는 한국 도메인에 현재 등록되지 않는 상태 참고로, login.live.com 은 마이크로소프트 로그인창으로 확인 여러개 IP랑 연결되도록 코딩됨을 확인 이중 20.99.184.37과 23.216.147.64이랑 76과 뭔가 통신됐다는 것이 탐지 V..

목차 exeinfo info Bintext Autorun process explorer process monitor snort wireshark Exeinfo 패킹 유무 확인 및 코딩 정보 확인 가능 exeinfo 프로그램은 UPX로 패킹되어 있음을 확인 가능 Bintext 프로그램은 패킹되어 있지 않고, C++로 코딩되어 있음을 확인 Bintext wireshark 프로그램을 이용하여 Exeinfo PE와 Bintext에 돌려봤더니 Exeinfo에서는 언패킹된채 C++로 코딩 언패킹되어있지 않다보니 Bintext에서 wireshark에 관한 정보를 텍스트 형식으로 확인 가능 해당 파일에 임포트된 DLL 정보와 함께 사용된 함수도 파악 가능 해당 파일에 포함된 IP주소와 URL 정보도 파악 가능 proc..

목차 초기 세팅 과정 Snapshot 악성코드 샘플 사이트 초기 세팅 과정 https://www.vmware.com/kr/products/workstation-player/workstation-player-evaluation.html Download VMware Workstation Player | VMware Download VMware Workstation Player for free today to run a single virtual machine on a Windows or Linux PC, and experience the multi-functional capabilities. www.vmware.com vmware 17 설치 링크, 필자는 이미 16이 있으므로 해당 버젼으로 진행 초기화면에서..

목차 정적 분석 개요 정적 분석 장단점 동적 분석 개요 동적 분석 장단점 정적 분석 도구 동적 분석 도구 정적 분석 개요 파일을 실행시키지 않고 분석함 각 파일의 소스코드나 기타 해시 값을 기준으로 파일의 속성을 보여줌 분석 기준이 되는 정보로는 흔히 파일의 종류, 크기, 헤더정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록정보, 디버깅 정보 등이 있음. 정적 분석 장단점 장점 1.프로그램 전체 구조 파악하기 쉬움 프로그램이 어떤 함수로 구성됐고 서로 어떤 호출관계를 갖는지, 어떤 API를 사용하며 어떤 문자열을 포함하는지 등을 종합적으로 파악 가능 2. 분석 환경의 제약에서도 비교적자유로움 실행을 전제로 하는 동적 분석을 윈도우 환경에서 apk를 대상으로 하기는 다소 번거로..

목차 virustotal 기능 virustotal 세부적인 사용 방법(세부 내용 분석 및 활용 방안) virustotal을 이용한 분석 방법 기능 약 90 여 개의 악성코드 검사 엔진을 통해 Domain, IP, URL, file hash를 통해 바이러스 검사를 함. file hash 값을 통해 이전 이력을 볼 수 있음. 한번도 검사 안한 파일은 이력이 안뜸 세부사용 먼저 태블릿 안에 있는 음악 파일을 시험해봤을 때 이상x 다만 파일 타입에 따라서 되는 엔진도 있고, 안되는 엔진들도 있음. 이번에는 URL 테스트를 위해 현 티스토리 블로그의 악성코드에 관한 글로 테스트 맨 처음 음악 파일을 테스트 하고 나서 해당 Hash 값을 이용하여 조회하였을 때 이미 검사한 기록을 보여주기에 빠름 Detail 정보에..

목차 정의 보안관제 구성요소 프로세스 업무 유형 및 특징 보안 업무시 활용하는 웹사이트 정의 고객의 정보 기술 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 맡아서각종 침입에 대해 중앙 관제 센터에서 실시간으로 감시 및 분석, 대응하는 서비스 고객 정보의 보안을 위해 각종 악의적 공격을 자체적으로 혹은 전문 대행 업체를 통해 실시간 감시, 분석, 그리고 대응을 하는 서비스 보안관제 구성요소 1. 네트워크나 시스템에 설치된 에이전트 각종 로그를 쉽게 모니터링하고 분석할 수 있도록 각종 보안장비 및 서버 장비, 호스트들에 에이전트를 설치 에이전트를 통해 해당 장비에 맞게 설정된 로그 정보를 실시간으로 중앙관제센터에 전송 2. 정보수집 서버 정보수집 서버는 각 에이전트에서 보내진 각종 정보를 수집하고..