본문 바로가기

IT상자31

21. 악성코드 샘플 동적분석 • Snort (2) 저번 분석에 이어서 동적분석과 Snort를 통한 탐지 패턴 생성을 진행할 것이다.     악성샘플 정보 – feb document 10998  해당 샘플은 ".NET.. 2024. 4. 8.
20. 악성코드 샘플 수집 및 기초 • 정적분석 (1) 이전에 구성한 Snort 환경을 기반으로 탐지 패턴을 만들어야 하기 때문에 네트워크 행위를 명확하게 하는 샘플을 찾는 것이 중요하다. 하지만 샘플이 HTTPS로 통신을 하게 되면 관련 패킷들이 모두 암호화가 되어있다 보니 네트워크 행위를 하더라도 HTTP로 통신을 하는 샘플을 찾아야 되는 수고로움이 있다. 이 샘플을 구하는 것 자체가 생각보다 많은 시간이 소요되며, 실무에서도 동일한 업무를 수행할 때 정말 많은 비중을 차지한다고 한다. 탐지 패턴을 하나 만드는 데 보통 3주 정도 기간을 갖고 진행을 한다고 봤을 때, 평균적으로 1주에서 2주 정도를 샘플링을 하는데 시간을 보낸다고 한다. 그리고 샘플 분석에 3일, 보고서를 작성하는 데 2~3일을 일반적인 기간으로 본다. 샘플이 네트워크 행위를 정말로 하는.. 2024. 3. 31.
19. Snort 환경 구성 이전 글에서는 Snort 이론적 내용을 다루면서 Snort가 어떠한 개념의 소프트웨어인지 알 수 있었다. 이번 글에서는 Snort를 직접 사용하기 위해 환경 구성을 실시하는 과정을 다룰 것이다. Snort는 환경 구성에 있어서 상당히 민감한 편이기 때문에, 수많은 오류가 발생할 수 있다. Snort 환경 구성 - 필요 프로그램 설치 먼저 Vmware에 두 가지 가상 환경을 추가로 생성하여 한쪽을 Server, 다른 한쪽을 Client(Victim)로 이름을 명명한 후에, Server 환경에 아래 프로그램을 설치한다. Snort 버전 3은 리눅스 전용이므로, Snort 2.9.2.3 ver 설치 Winpcap(https://www.winpcap.org/) 윈도우 운영체제에서 패킷을 캡처하기 위한 라이브러리.. 2024. 3. 24.
18. Snort 다음부터는 보안 관제 프로젝트를 실무와 유사한 형식으로 진행할 예정이다. 악성 샘플을 구하는 것부터 시작해서 기초, 정적, 동적분석을 진행하고 동적분석 과정에서 네트워크 트래픽 및 패킷을 분석할 때, 만드는 탐지 패턴을 실제로 Snort 환경에다가 적용할 것이다. 위의 탐지 패턴을 적용했을 때, 악성 코드를 실행시키면 정말로 탐지가 되는지와 같이 관제 업무 프로세스와 관련된 부분을 직접적으로 경험해 보는 그런 과제를 수행할 것이다. 즉, 이번 글에서는 이를 위해 Snort에 대한 이론적인 개념을 알아보고자 한다. Snort 개념 네트워크 침입 탐지 시스템(IDS) 및 네트워크 침입 방지 시스템(IPS)으로 사용되는 오픈 소스 소프트웨어로 네트워크 상에서 발생하는 데이터 트래픽을 실시간으로 모니터링하여 .. 2024. 3. 5.
17. 악성코드 분석 보고서 이번 글에서는 dgrep.exe 샘플 파일의 분석 결과를 보고서로 작성해 보았다. 악성코드 분석 보고서 작성 시에 중요하게 다뤄야 할 포인트는 다음과 같다. 목차는 최대한 상세하게 구분하여 작성하기캡쳐 등 이미지 파일 첨부 시 해당 이미지 파일에서 확인해야 할 부분 박스, 밑줄 활용하여 표현하기이미지에 대한 설명과 결론은 분석한 내용을 바탕으로 최대한 상세하게 작성하기대응 방안 작성하기악성 코드 분석 보고서 작성 후 띄어쓰기, 오타 확인        보완할 점 텍스트 내에 중요하게 봐야 할 포인트 볼드체, 밑줄 표시, 색상 등 활용전문 용어 주석 추가페이지 넘버링 2024. 2. 26.

티스토리툴바