보안 관제 관련/악성코드 7

thumbnail 기본 썸네일
보안 관제 관련/악성코드

문서형 악성코드 공격 벡터 및 공격 기법

오늘은 VBA, Macro, DDE(Dynamic Data Exchange), OLE(객체 연결 삽입) 등 진화하는 문서 유형의 악성코드 환경에 대해 알아보도록 하겠습니다. Macro( VBA / Macro 4.0 ) VBA VBA(Visual Basic for Application)로 'vbaProject.bin' 개체에 공격 코드가 포함되어 실행되는 형태의 악성코드 'DocumentlOpen', 'Auto_Open' 등의 자동 실행 함수를 이용해 문서 열람 시 악성코드가 자동으로 설치되고 실행되는 형태이다. 공격 사례 : 북한 공격그룹 APT37, 김수키, Emotet, Lokibot, Revil 등 Macro 1992년 추가된 엑셀 4.0 매크로 시트 기능을 악용한 공격 기법 파일 바이너리의 특징,..
thumbnail 기본 썸네일
보안 관제 관련/악성코드

악성 코드 샘플 사이트

MalwareBazaar ( https://bazaar.abuse.ch/browse/ ) 무료로 횟수 상관없이 악성 코드 샘플을 다운로드 할 수 있는 사이트 현재도 매일 악성 코드 샘플들이 매일 업로드 되고 있습니다. 애드웨어/PUP/PUA 계열 악성 코드는 업로드 되지 않습니다. urlhaus.abuse.ch ( https://urlhaus.abuse.ch/browse/ ) Drive by Download 같은 기법으로 뿌려지고 있거나 웹 상에서 피싱 사이트 같은 URL 들이 올라오는 사이트 C&C 서버 까지 열려있는 샘플을 구하기 쉽다. 현재도 계속 악성 코드가 업로드 되고 있습니다. Virus Share ( https://virusshare.com/ ) 여러 형식의 악성 코드를 많이 공유하는 사이트..
thumbnail 기본 썸네일
보안 관제 관련/악성코드

악성 코드 동적 분석 ( 특징, 동적 분석 툴, 가상환경 )

악성 코드 동적 분석 악성 코드 동적 분석 특징 의심스러운 파일을 직접 실행하여 나타나는 변화들을 모니터링 해 어떤 기능을 수행하는지 확인하는 분석 방법 해당 파일이 실제로 악의적인 행위를 할 가능성이 존재하기 때문에 가상 샌드박스 환경에서 진행을 해야 함 동적 분석의 경우 파일 실행 한번으로는 제대로 분석이 되지 않을 수 있기에 여러 번 반복해서 분석해야 합니다. 악성 코드 동적 분석 방법 가상 환경 구축 → Vmware 또는 VirtualBox 등 을 이용해 가상 샌드박스 환경을 구축한다. 의심스러운 파일을 관리자 권한으로 실행 후 생성되는 프로세스 확인 레지스트리 및 파일 변화 확인 패킷 캡쳐 툴로 네트워크 동작 확인 동적 분석 Tool 프로세스 관련 Tool 파일 및 레지스트리 관련 Tool 네트..
thumbnail 기본 썸네일
보안 관제 관련/악성코드

악성 코드 정적 분석 ( 특징, 방법, 정적 분석 툴, 패킹, PE 구조)

악성 코드 정적 분석 정적 분석의 특징 의심되는 파일을 실행하지 않고, 파일 자체가 가지고 있는 내용들을 확인해서 악의적인 코드를 지니고 있는지 여부를 분석하는 방식 프로그램의 전체적인 구조를 파악하고, 어떤 함수로 구성이 되어 있는지, 어떠한 API 를 사용하고, 어떤 문자열을 포함하는지 등을 종합적으로 확인하는 분석 형태 정적 분석 방법 해당 파일의 해시값 확인 => 원본 파일의 해시값과 비교해 다르다면 변조된 것, 해시값 Virustotal 검색 파일 패킹* 여부 확인 및 PE 구조 확인 => 어떠한 DLL 을 import 했는지 등을 확인 악성 코드가 사용하는 문자열 확인 Resource 확인 => 악성 코드 실행 파일에 저장된 리소스 분석 * 패킹 : 실행 파일 압축, 디버깅을 방해하는 요소 ※..
thumbnail 기본 썸네일
보안 관제 관련/악성코드

Virustotal 기능 / Virustotal 사용법 / 악성 코드 기초 분석 / 바이러스 토탈

Virustotal 위 사진은 바이러스토탈 홈페이지를 처음 들어갔을 때 보여지는 모습입니다. Virustotal 의 기능 악성 코드 검사 웹페이지 기능 약 70 여 개의 악성 코드 검사 엔진으로 의심스러운 File, URL, Domain, IP 를 무료로 분석 해주는 웹페이지 상당히 광범위한 악성 코드 및 파일 서명 DB 를 보유하고 있기에, 파일 해시값을 통해 이전 악성 코드 검사 기록을 확인 할 수도 있다. Virustotal 의 사용 방법 Virustotal 의 경우 사용법이 상당히 직관적으로 잘 표현이 되어 있기에 쉽게 사용이 가능합니다. File TAB 먼저 처음 설명 드릴 것은 File TAB 입니다. 1. 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose File 을 클릭해 파일을 ..
thumbnail 기본 썸네일
보안 관제 관련/악성코드

악성 코드의 유형 및 특징 사례

악성코드 유형 악성코드에는 굉장히 다양한 유형의 악성 코드들이 있으나 각 업체별로 나누는 것이 다르기 때문에 상위의 카테고리 내에서 설명 하도록 하겠습니다. 바이러스 ( Virus ) 악성 코드의 가장 기본적인 형태로 정상 파일을 감염 시키는 형태의 악성 코드 감염 파일 ( 숙주 파일 ) 에서 다른 정상 파일로 자기 복제 능력을 지니고 있다. 대표적인 사례 2000년대 필리핀에서 제작된 러브 바이러스 메일을 통해 감염되었으며, 해당 소프트웨어를 실행하는 순간 모든 파일을 ' I Love You ' 라는 내용이 적힌 스크립트 파일로 만든 바이러스 웜 ( Worm ) 스스로를 복제 ( 자가 복제 ) 하는 악성 코드 바이러스의 경우 다른 실행 파일에 기생하는 반면 웜의 경우 독자적으로 실행된다. 감염된 호스트..
기본 썸네일
보안 관제 관련/악성코드

탐지 구분 ( 정탐, 오탐, 미탐 )

악성 코드란? Malware 라고 부르고 있으며, 정상적인 기능을 하기 위한 코드가 아닌, 사용자에게 해악을 끼치는 등 악의적인 목적을 가지고 만들어진 모든 코드를 통칭해서 악성 코드라고 한다. 악성 코드 탐지 구분 ( 정탐 , 오탐 , 미탐 ) Positive Negative True True Positive False Negative False False Positive True Negative True : 정답, 옳다. False : 오답, 틀리다. Positive : 긍적적 Negative : 부정적 정탐(TP,TN) : 정상적으로 탐지를 한 것 오탐(FP) : 탐지를 했지만 잘못 탐지 한 것 미탐(FN) : 탐지조차 하지 않은 것 정탐( TP, TN ) True Positive : 긍정적 사실,..

티스토리툴바