본문 바로가기

IT상자44

14. 악성코드 샘플 분석(1) 악성코드 분석은 사실상 정답이 없는 문제를 푸는 것과 유사하다고 표현한다. 즉, 최대한 많은 분석들을 통해서 직접 쌓은 경험을 기반으로 답을 도출해 나가는 과정이다. 또한 악성코드는 분석하는 환경에 따라서도 얼마든지 결과가 달라질 수 있으며, 악성코드 자체적으로 시간이 지남에 따라 활동의 변화가 생길 수 있다. Virustotal에서 누군가 과거에 분석한 결과와 본인이 직접 분석한 결과가 다르다고 해도 본인이 틀렸다고 생각할 이유는 없는 것이다. 이러한 이유로 악성코드가 어떻게 동작할지 자세하게 알 수 없기 때문에, 우리는 최대한 여러 가지 툴을 잘 활용하고 상세한 분석을 통해 결과를 만들어나가는 것이다. 이번 글에서는 "bton02setu.exe" 라는 샘플 파일을 분석해 볼 것이다. 먼저 파일의 속성.. 2024. 1. 28.
13. 정적, 동적 Tool 실습 이번 글에서는 아래의 Tool을 직접 사용해 볼 것이다. Exeinfo PE, bintext, PEview, Process Explorer, Process Moniter, System Explorer, Autoruns, Currport, Smartsniff, Wireshark 위의 Tool 외에도 정말 많은 Tool이 존재하지만, 실무에서는 위에 해당하는 툴을 통해서 분석하는 것이 가장 일반적이다. 그렇기 때문에 위의 Tool을 우선으로 명확하게 잘 이해하면서 사용법을 익혀 주는 것이 좋다. 이후에 좀 더 시간이 된다면 다른 추가적인 툴은 없을지 찾아보는 것도 좋은 방법이 될 수 있다. 정적분석 및 동적분석으로 나누어 자세히 알아보자. 정적분석 : 패킹 - Exeinfo PE 정적 분석을 진행할 때는 우.. 2024. 1. 24.
12. 샘플 분석 환경 구성 악성 샘플을 분석하기 위해서는 로컬 환경이 아닌 윈도우와 동일한 가상환경을 구성하여, 해당 환경에서 진행을 해야 한다. 효과가 미미한 악성샘플의 경우는 백신에 의한 치료를 하면 되겠지만, 랜섬웨어 같은 크리티컬 한 악성코드의 경우는 해결 방법이 없기 때문에 별도의 환경을 구성하여 분석을 실행해야만 한다. 가상 환경에서 악성코드 분석을 진행할 때, 로컬 환경에 있는 백신에서 악성코드가 감지되었다는 알람이 발생되는 경우들이 있다. 이 백신 같은 경우는 가상 환경과 로컬 환경 사이를 구분하지 못한다. 하지만 가상 환경 내에서 일어나고 있는 동작까지는 탐지가 가능한 것이다. 즉, 위와 같은 경우가 발생하더라도 로컬 환경에 영향을 미치지는 않는다. 그리고 동적분석 진행할 때 앞으로 여러 가지 툴을 사용할 것이다... 2024. 1. 13.
11. 정적 / 동적분석 / Tools 정적분석과 동적분석의 개념과 각각의 Tool(도구)는 무엇이 있는지 알아보자. 위의 개념들도 중요하지만, 툴을 직접적으로 사용해서 악성코드 분석에 활용하는 것이 앞으로 좀 더 중요하게 봐야 될 포인트라고 할 수 있다. 그래서 앞으로 가상 환경을 구성하여 해당 환경 내에서 직접적으로 툴을 직접 사용해 보면서 사용법을 익히고 악성코드 분석을 진행하는 과정을 거칠 것이다. 정적분석, 동적분석 - 개념 악성 코드 분석할 때 기본적으로 정적분석과 동적분석 두 가지로 나눠서 진행한다. 이 정적분석과 동적분석의 방향성을 제시해 주는 것이 기초분석 즉, Virustotal을 통해서 진행하는 분석방법인 것이다. 그리고 분석을 진행할 때 분석 방법에 해당하는 각각의 도구들을 적절히 활용하여 분석을 진행하는 것이다. 먼저 .. 2024. 1. 9.
10. Virustotal Virustotal(https://www.virustotal.com/)은 보안 분야에서 실무를 하게 될 때, 정말 많이 사용되는 웹 사이트 중 하나이다. IP 주소, 도메인 주소 검색, 악성코드 분석, 샘플 파일 분석 등 정말 많은 목적으로 사용한다. Virustotal 기능 약 70여 개의 안티바이러스 엔진을 활용하여, 파일, URL, IP 등의 악성코드 스캔 결과를 확인할 수 있는 웹 사이트이다. 또한, VirusTotal은 파일 해시값을 통해 이전의 악성 코드 검사 기록을 확인할 수 있다. 파일을 업로드하면 해당 파일의 해시값이 자동으로 생성되고, 이 해시값을 사용하여 VirusTotal에서 해당 파일의 과거 스캔 결과를 조회할 수 있는 것이다. 크게 웹 사이트 내에는 위와 같이 FILE / URL.. 2023. 12. 24.
9. 보안관제 보안 분야에서 하게 될 업무는 여러 가지가 있다. 이번 글에서는 보안 직무에서 제일 기본이 되는 직무인 보안관제를 알아보겠다. 보안관제 보안관제는 여러 가지 의미로 정의할 수 있지만, 사실 가장 중요한 키워드는 '실시간 모니터링'이다. 실시간 모니터링 활동을 통해서 사이버 공격에 대응하는 일련의 활동을 보고 보안관제라고 이야기한다. 정의 및 목적 사이버공격 등 정보통신망에서 발생하는 보안 이벤트를 24시간 탐지, 이상징후 분석, 침해사고 대응까지 하는 일련의 활동이다. 즉, 다양한 IT 자산을 모니터링하여 잠재적 보안 위협을 탐지하고, 이에 대한 대응(복구/분석)을 수행하는 프로세스 또한 포함한다. 보안관제 직무 이러한 보안관제 및 사이버 보안 이벤트를 대응하기 위해서 조직은 자체적으로 SOC(Secur.. 2023. 12. 20.