보안 관제 관련 27

thumbnail 기본 썸네일
보안 관제 관련/악성코드

문서형 악성코드 공격 벡터 및 공격 기법

오늘은 VBA, Macro, DDE(Dynamic Data Exchange), OLE(객체 연결 삽입) 등 진화하는 문서 유형의 악성코드 환경에 대해 알아보도록 하겠습니다. Macro( VBA / Macro 4.0 ) VBA VBA(Visual Basic for Application)로 'vbaProject.bin' 개체에 공격 코드가 포함되어 실행되는 형태의 악성코드 'DocumentlOpen', 'Auto_Open' 등의 자동 실행 함수를 이용해 문서 열람 시 악성코드가 자동으로 설치되고 실행되는 형태이다. 공격 사례 : 북한 공격그룹 APT37, 김수키, Emotet, Lokibot, Revil 등 Macro 1992년 추가된 엑셀 4.0 매크로 시트 기능을 악용한 공격 기법 파일 바이너리의 특징,..
기본 썸네일
보안 관제 관련/네트워크

쿠키(Cookie)와 세션(Session)의 개념

Cookie ? 쿠키란 하이퍼 텍스트의 기록서(HTTP)의 일종으로서 인터넷 사용자가 어떠한 웹사이트를 방문할 경우 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일을 일컫는다. HTTP 쿠키, 웹 쿠키, 브라우저 쿠키라고도 한다. 쿠키는 HTTP 프로토콜의 특징인 비상태성(Stateless)으로 인해 사용자의 연속되는 요청들이 동일 사용자의 요청인지 식별하거나 웹사이트 내에서 사용자의 상태를 기억하기 위해 탄생했습니다. 쿠키는 온라인 쇼핑몰의 "최근 본 상품" 등 민감하지 않지만 서비스 제공에 필요한 데이터를 쿠키로 설정하여 사용하기도 하지만 사용자의 인증에도 사용되므로 공격자의 표적이 되기 쉽습니다. Cookie 사용 용도 쿠키를 사용하는 목적은 일반적으로..
thumbnail 기본 썸네일
보안 관제 관련/네트워크

프록시(Proxy)란?/프록시의 종류(Forward Proxy, Reverse Proxy)

프록시(Proxy)란? 영단어로 직역하면 '대리' 또는 '중계'라는 의미 서버와 클라이언트 사이의 중계 역할 자체를 프록시(Proxy)라고 하고, 그 중계 기능을 하는 장치 또는 응용 프로그램을 프록시 서버라고 한다. 네트워크 구조에서 프록시 서버가 사용되는 위치에 따라 Forward Proxy와 Reverse Proxy로 구분된다. 프록시(Proxy)의 종류 Forward Proxy Forward Proxy 란? 일반적인 프록시 형태 클라이언트가 직접 인터넷에 접근하는 것이 아닌 클라이언트 단 앞에 Rroxy Server를 위치시켜 Proxy Server가 요청을 받고 인터넷에 연결하여 서버와 통신 후 클라이언트에게 반환하는 방식 Forward Proxy 사용 이점 Proxy의 기능 중 하나인 캐싱 기..
thumbnail 기본 썸네일
보안 관제 관련/악성코드 분석 실습

Snort 환경 구성 ( Windows Snort 환경 구성 )

Snort IDS 설치 및 설정 과정 Snort & Pcap 라이브러리 설치 XAMPP ( Apache Web Server, MySQL, PHP ) 설치 Base 설치 Adodb5 설치 프로그램 설정 위 순서로 Snort IDS 설치 및 설정을 진행하겠습니다. 1. Snort 설치 및 Pcap 라이브러리 설치 우선 Snort 를 설치하기 앞서 실제 네트워크로 전송되는 패킷을 탐지하기 위해 Pcap 라이브러리가 필요합니다. Windows 환경에 설치를 하는 것이기 때문에 Winpcap 을 설치를 진행하였습니다. https://www.winpcap.org/ WinPcap - Home For many years, WinPcap has been recognized as the industry-standard t..
thumbnail 기본 썸네일
보안 관제 관련

Snort / Snort Rule Signature ( Snort 개요 / Snort 기능 / Snort Rule )

※ Snort 를 공부하기 앞서 이전 IDS 와 IPS 에 대한 내용을 숙지한 후 보시는걸 추천합니다. https://maker5587.tistory.com/8 Snort 란 ? Snort 는 1998년 Martin Roesch에 의해 개발된 오픈 소스 기반 IDPS ( Intrusion Detection Prevention System ) 입니다. 시그니처 기반 탐지 시스템으로서 패턴과 매칭이 될 경우 탐지되는 방식을 사용하는 시스템입니다. 현재까지도 침입 탐지 시스템 ( IDS ) 중 가장 널리 사용되고 있는 시스템입니다. Snort 의 기능 Snort 는 아래 작성된 3가지 기능을 수행합니다. Sniffer : 네트워크 트래픽을 캡쳐하는 기능 Packet Logger : 나중에 분석할 수 있도록 네..
thumbnail 기본 썸네일
보안 관제 관련/악성코드 분석 실습

악성 코드 분석 실습 ( 기초 분석, 정적 분석, 동적 분석 )

악성 코드 분석 실습 샘플 파일 위 사진은 이번에 분석할 파일입니다. 분석 환경은 Vmware Workstation 17 Pro, Windows 7 Professional K 64bit 운영체제에서 분석을 진행하였습니다. 기초 분석 Dgrep.exe 파일을 Virustotal에서 스캔한 모습 결과를 보면 71개 엔진 중 66 개 엔진이 해당 파일을 악성 파일로 진단한 것을 확인할 수 있다. 조금 더 자세히 각각의 진단명을 살펴보면 Backdoor, Trojan, Win32, Packed, Downloader 라는 진단명이 보이는 것을 확인할 수 있습니다. 위 진단명들을 종합해서 본다면 해당 파일은 Backdoor, Trojan, Downloader 계열 악성코드일 가능성이 높고, 패킹 처리가 되어있을 것..
thumbnail 기본 썸네일
보안 관제 관련/악성코드 분석 실습

악성 코드 분석 실습 ( 기초 분석, 정적 분석, 동적 분석 )

악성코드 샘플 분석 에 보이는 파일을 Virustotal 과 여러 분석 툴들을 활용해 분석을 하였습니다. 해당 파일은 악성파일이며, 분석 진행은 이전에 구축해둔 가상환경 Windows 7 Professional 64bit 에서 진행 하였습니다. 기초 분석 해당 파일의 기본적인 정보를 얻기위해 Virustotal 로 해당 파일을 스캔하였습니다. 71개 엔진 중 51개 엔진이 해당 파일을 악성 파일로 진단하였습니다. 진단명을 살펴보면 PUP, Adware, Trojan, Downloader, Win32 로 진단을 많이 한 것을 확인 했을 때 해당 파일은 Adware, Downloader, Trojan 형태의 악성 코드로 보여집니다. Win32 에서 구동할 것으로 보여집니다. 정적 분석 Exeinfo PE, ..
thumbnail 기본 썸네일
보안 관제 관련/악성코드 분석 도구

Autoruns 기능 및 사용법 ( 파일 및 레지스트리 관련 툴 )

Autoruns Autoruns 는 윈도우가 부팅 후 자동으로 시작되는 서비스 또는 프로그램을 모니터링 할 수 있는 툴입니다. 해당 툴은 보통 악성 코드 분석 시 해당 악성 파일을 실행하기 전 스냅샷을 촬영하고 실행 후 스냅샷을 촬영해 두 개를 비교하는 것으로 사용합니다. 스냅샷을 촬영 후 비교하는 방법 파일 실행 전 좌측 상단 플로피 디스크 버튼을 클릭 해 저장합니다. 분석할 파일을 관리자 권한으로 실행합니다. 아래 와 같이 좌측상단에 File 탭에서 Compare 버튼을 클릭해 이전에 저장한 파일을 불러오게 되면 두 개의 스냅샷을 비교해 프로그램에 어떤 부분이 변경되었는지 확인할 수 있게됩니다.
thumbnail 기본 썸네일
보안 관제 관련/악성코드 분석 도구

프로세스 분석 툴 기능 및 사용법 ( Process Explorer, Process Monitor, System Explorer )

Process Explorer 모습의 경우 Process Explorer 를 실행을 하였을 때 모습입니다. 현재 실행되고 있는 프로세스들을 관리하고 분석할 수 있는 툴입니다. 현재 실행되는 프로세스를 트리 형식으로 보여주는 것이 특징입니다. 현재 사용되는 시스템의 리소스를 알 수 있고, 실행중인 프로세스의 상세정보를 파악할 수 있습니다. 분석하고 싶은 프로세스를 우클릭하게 될 경우 좌측 사진과 같이 여러 메뉴들이 나오는 것을 확인할 수 있습니다. 좌측 메뉴를 보면 프로세스 종료, 재시작, 정지 기능도 가능하고, Create Dump 를 이용해 덤프파일을 생성해 메모리를 분석하는 등의 작업도 할 수 있을 것으로 보여집니다. 그아래 Properties 라는 메뉴를 볼 수 있는데 말 그대로 ' 속성 ' 이라는..

티스토리툴바