오늘은 VBA, Macro, DDE(Dynamic Data Exchange), OLE(객체 연결 삽입) 등 진화하는 문서 유형의 악성코드 환경에 대해 알아보도록 하겠습니다. Macro( VBA / Macro 4.0 ) VBA VBA(Visual Basic for Application)로 'vbaProject.bin' 개체에 공격 코드가 포함되어 실행되는 형태의 악성코드 'DocumentlOpen', 'Auto_Open' 등의 자동 실행 함수를 이용해 문서 열람 시 악성코드가 자동으로 설치되고 실행되는 형태이다. 공격 사례 : 북한 공격그룹 APT37, 김수키, Emotet, Lokibot, Revil 등 Macro 1992년 추가된 엑셀 4.0 매크로 시트 기능을 악용한 공격 기법 파일 바이너리의 특징,..
보안 관제 관련/악성코드
MalwareBazaar ( https://bazaar.abuse.ch/browse/ ) 무료로 횟수 상관없이 악성 코드 샘플을 다운로드 할 수 있는 사이트 현재도 매일 악성 코드 샘플들이 매일 업로드 되고 있습니다. 애드웨어/PUP/PUA 계열 악성 코드는 업로드 되지 않습니다. urlhaus.abuse.ch ( https://urlhaus.abuse.ch/browse/ ) Drive by Download 같은 기법으로 뿌려지고 있거나 웹 상에서 피싱 사이트 같은 URL 들이 올라오는 사이트 C&C 서버 까지 열려있는 샘플을 구하기 쉽다. 현재도 계속 악성 코드가 업로드 되고 있습니다. Virus Share ( https://virusshare.com/ ) 여러 형식의 악성 코드를 많이 공유하는 사이트..
악성 코드 동적 분석 악성 코드 동적 분석 특징 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다. 악성 코드 동적 분석 방법 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다. 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인 레지스트리 및 파일 변화 확인 패킷 캡쳐 툴로 네트워크 동작 확인 동적 분석 Tool 프로세스 관련 Tool 파일 및 레지스트리 관련 Tool 네트..
악성 코드 정적 분석 정적 분석의 특징 의심되는 파일을 실행하지 않고, 파일 자체가 가지고 있는 내용들을 확인해서 악의적인 코드를 지니고 있는지 여부를 분석하는 방식 프로그램의 전체적인 구조를 파악하고, 어떤 함수로 구성이 되어 있는지, 어떠한 API 를 사용하고, 어떤 문자열을 포함하는지 등을 종합적으로 확인하는 분석 형태 정적 분석 방법 해당 파일의 해시값 확인 => 원본 파일의 해시값과 비교해 다르다면 변조된 것, 해시값 Virustotal 검색 파일 패킹* 여부 확인 및 PE 구조 확인 => 어떠한 DLL 을 import 했는지 등을 확인 악성 코드가 사용하는 문자열 확인 Resource 확인 => 악성 코드 실행 파일에 저장된 리소스 분석 * 패킹 : 실행 파일 압축, 디버깅을 방해하는 요소 ※..
Virustotal 위 사진은 바이러스토탈 홈페이지를 처음 들어갔을 때 보여지는 모습입니다. Virustotal 의 기능 악성 코드 검사 웹페이지 기능 약 70 여 개의 악성 코드 검사 엔진으로 의심스러운 File, URL, Domain, IP 를 무료로 분석 해주는 웹페이지 상당히 광범위한 악성 코드 및 파일 서명 DB 를 보유하고 있기에, 파일 해시값을 통해 이전 악성 코드 검사 기록을 확인 할 수도 있다. Virustotal 의 사용 방법 Virustotal 의 경우 사용법이 상당히 직관적으로 잘 표현이 되어 있기에 쉽게 사용이 가능합니다. File TAB 먼저 처음 설명 드릴 것은 File TAB 입니다. 1. 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose File 을 클릭해 파일을 ..