본문 바로가기

전체 글31

19. Snort 환경 구성 이전 글에서는 Snort 이론적 내용을 다루면서 Snort가 어떠한 개념의 소프트웨어인지 알 수 있었다. 이번 글에서는 Snort를 직접 사용하기 위해 환경 구성을 실시하는 과정을 다룰 것이다. Snort는 환경 구성에 있어서 상당히 민감한 편이기 때문에, 수많은 오류가 발생할 수 있다. Snort 환경 구성 - 필요 프로그램 설치 먼저 Vmware에 두 가지 가상 환경을 추가로 생성하여 한쪽을 Server, 다른 한쪽을 Client(Victim)로 이름을 명명한 후에, Server 환경에 아래 프로그램을 설치한다. Snort 버전 3은 리눅스 전용이므로, Snort 2.9.2.3 ver 설치 Winpcap(https://www.winpcap.org/) 윈도우 운영체제에서 패킷을 캡처하기 위한 라이브러리.. 2024. 3. 24.
18. Snort 다음부터는 보안 관제 프로젝트를 실무와 유사한 형식으로 진행할 예정이다. 악성 샘플을 구하는 것부터 시작해서 기초, 정적, 동적분석을 진행하고 동적분석 과정에서 네트워크 트래픽 및 패킷을 분석할 때, 만드는 탐지 패턴을 실제로 Snort 환경에다가 적용할 것이다. 위의 탐지 패턴을 적용했을 때, 악성 코드를 실행시키면 정말로 탐지가 되는지와 같이 관제 업무 프로세스와 관련된 부분을 직접적으로 경험해 보는 그런 과제를 수행할 것이다. 즉, 이번 글에서는 이를 위해 Snort에 대한 이론적인 개념을 알아보고자 한다. Snort 개념 네트워크 침입 탐지 시스템(IDS) 및 네트워크 침입 방지 시스템(IPS)으로 사용되는 오픈 소스 소프트웨어로 네트워크 상에서 발생하는 데이터 트래픽을 실시간으로 모니터링하여 .. 2024. 3. 5.
17. 악성코드 분석 보고서 이번 글에서는 dgrep.exe 샘플 파일의 분석 결과를 보고서로 작성해 보았다. 악성코드 분석 보고서 작성 시에 중요하게 다뤄야 할 포인트는 다음과 같다. 목차는 최대한 상세하게 구분하여 작성하기캡쳐 등 이미지 파일 첨부 시 해당 이미지 파일에서 확인해야 할 부분 박스, 밑줄 활용하여 표현하기이미지에 대한 설명과 결론은 분석한 내용을 바탕으로 최대한 상세하게 작성하기대응 방안 작성하기악성 코드 분석 보고서 작성 후 띄어쓰기, 오타 확인        보완할 점 텍스트 내에 중요하게 봐야 할 포인트 볼드체, 밑줄 표시, 색상 등 활용전문 용어 주석 추가페이지 넘버링 2024. 2. 26.
16. 악성코드 샘플 분석(2) : 하 이번 글에서는 저번 정적분석 글에 이어서 동적분석을 진행할 것이다. 동적분석 - Process Explorer 위의 사진은 dgrep.exe를 실행 후 순간적으로 일어난 프로세스를 캡처한 것이다. 'conhost.exe', 'cmd.exe' 프로세스는 cmd를 실행시키는 행위 'PING.EXE' 프로세스는 TCP/IP Ping 명령으로 네트워크 관련 행위를 하는 것으로 추정이 가능하다. 후속 동적분석에서 위의 3가지 프로세스를 유심히 살펴볼 필요성이 있다. 실행 후 시간이 어느 정도 지난 후의 프로세스 캡처본이다. 먼저 dgrep.exe 원본 파일이 삭제된 것으로 보아 트로이목마 성격을 가지고 있음을 알 수 있으며, 'rundll32.exe'이라는 파일을 실행시키면서 'wiseman.exe'이라는 프로세.. 2024. 2. 19.

티스토리툴바