![]()
오늘은 VBA, Macro, DDE(Dynamic Data Exchange), OLE(객체 연결 삽입) 등 진화하는 문서 유형의 악성코드 환경에 대해 알아보도록 하겠습니다. Macro( VBA / Macro 4.0 ) VBA VBA(Visual Basic for Application)로 'vbaProject.bin' 개체에 공격 코드가 포함되어 실행되는 형태의 악성코드 'DocumentlOpen', 'Auto_Open' 등의 자동 실행 함수를 이용해 문서 열람 시 악성코드가 자동으로 설치되고 실행되는 형태이다. 공격 사례 : 북한 공격그룹 APT37, 김수키, Emotet, Lokibot, Revil 등 Macro 1992년 추가된 엑셀 4.0 매크로 시트 기능을 악용한 공격 기법 파일 바이너리의 특징,..
![]()
MalwareBazaar ( https://bazaar.abuse.ch/browse/ ) 무료로 횟수 상관없이 악성 코드 샘플을 다운로드 할 수 있는 사이트 현재도 매일 악성 코드 샘플들이 매일 업로드 되고 있습니다. 애드웨어/PUP/PUA 계열 악성 코드는 업로드 되지 않습니다. urlhaus.abuse.ch ( https://urlhaus.abuse.ch/browse/ ) Drive by Download 같은 기법으로 뿌려지고 있거나 웹 상에서 피싱 사이트 같은 URL 들이 올라오는 사이트 C&C 서버 까지 열려있는 샘플을 구하기 쉽다. 현재도 계속 악성 코드가 업로드 되고 있습니다. Virus Share ( https://virusshare.com/ ) 여러 형식의 악성 코드를 많이 공유하는 사이트..
![]()
악성 코드 동적 분석 악성 코드 동적 분석 특징 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다. 악성 코드 동적 분석 방법 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다. 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인 레지스트리 및 파일 변화 확인 패킷 캡쳐 툴로 네트워크 동작 확인 동적 분석 Tool 프로세스 관련 Tool 파일 및 레지스트리 관련 Tool 네트..
![]()
악성 코드 정적 분석 정적 분석의 특징 의심되는 파일을 실행하지 않고, 파일 자체가 가지고 있는 내용들을 확인해서 악의적인 코드를 지니고 있는지 여부를 분석하는 방식 프로그램의 전체적인 구조를 파악하고, 어떤 함수로 구성이 되어 있는지, 어떠한 API 를 사용하고, 어떤 문자열을 포함하는지 등을 종합적으로 확인하는 분석 형태 정적 분석 방법 해당 파일의 해시값 확인 => 원본 파일의 해시값과 비교해 다르다면 변조된 것, 해시값 Virustotal 검색 파일 패킹* 여부 확인 및 PE 구조 확인 => 어떠한 DLL 을 import 했는지 등을 확인 악성 코드가 사용하는 문자열 확인 Resource 확인 => 악성 코드 실행 파일에 저장된 리소스 분석 * 패킹 : 실행 파일 압축, 디버깅을 방해하는 요소 ※..
![]()
Virustotal 위 사진은 바이러스토탈 홈페이지를 처음 들어갔을 때 보여지는 모습입니다. Virustotal 의 기능 악성 코드 검사 웹페이지 기능 약 70 여 개의 악성 코드 검사 엔진으로 의심스러운 File, URL, Domain, IP 를 무료로 분석 해주는 웹페이지 상당히 광범위한 악성 코드 및 파일 서명 DB 를 보유하고 있기에, 파일 해시값을 통해 이전 악성 코드 검사 기록을 확인 할 수도 있다. Virustotal 의 사용 방법 Virustotal 의 경우 사용법이 상당히 직관적으로 잘 표현이 되어 있기에 쉽게 사용이 가능합니다. File TAB 먼저 처음 설명 드릴 것은 File TAB 입니다. 1. 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose File 을 클릭해 파일을 ..
