기초분석3 20. 악성코드 샘플 수집 및 기초 • 정적분석 (1) 이전에 구성한 Snort 환경을 기반으로 탐지 패턴을 만들어야 하기 때문에 네트워크 행위를 명확하게 하는 샘플을 찾는 것이 중요하다. 하지만 샘플이 HTTPS로 통신을 하게 되면 관련 패킷들이 모두 암호화가 되어있다 보니 네트워크 행위를 하더라도 HTTP로 통신을 하는 샘플을 찾아야 되는 수고로움이 있다. 이 샘플을 구하는 것 자체가 생각보다 많은 시간이 소요되며, 실무에서도 동일한 업무를 수행할 때 정말 많은 비중을 차지한다고 한다. 탐지 패턴을 하나 만드는 데 보통 3주 정도 기간을 갖고 진행을 한다고 봤을 때, 평균적으로 1주에서 2주 정도를 샘플링을 하는데 시간을 보낸다고 한다. 그리고 샘플 분석에 3일, 보고서를 작성하는 데 2~3일을 일반적인 기간으로 본다. 샘플이 네트워크 행위를 정말로 하는.. 2024. 3. 31. 15. 악성코드 샘플 분석(2) : 상 악성코드 샘플 분석을 할 때, 일반 사용자의 권한으로 실행시키는 방법도 있지만 우클릭을 통해서 관리자 권한으로 실행시키는 방법이 존재한다. 관리자 권한으로 실행시켰을 때는 좀 더 다른 내용들을 볼 수 있는 경우도 존재하기 때문에, 이를 하나의 팁으로 생각하고 진행해도 좋다. 물론 샘플 파일이 활동했던 과거와는 많이 달라져서 현재 시점에서는 특이한 포인트가 많이 보이지 않을 수 있다. 이번 글에서는 "dgrep.exe"라는 샘플 파일을 분석해 볼 것이다. 생성일이 현재 시점으로부터 약 8년 이상의 차이가 있다. 현재는 정상적으로 작동하지 않을 가능성이 매우 높다고 유추할 수 있다. 기초분석 - Virustotal DETECTION 72개의 백신 중 67개의 백신이 악성코드로 진단하였으므로, 해당 파일은 악.. 2024. 2. 16. 10. Virustotal Virustotal(https://www.virustotal.com/)은 보안 분야에서 실무를 하게 될 때, 정말 많이 사용되는 웹 사이트 중 하나이다. IP 주소, 도메인 주소 검색, 악성코드 분석, 샘플 파일 분석 등 정말 많은 목적으로 사용한다. Virustotal 기능 약 70여 개의 안티바이러스 엔진을 활용하여, 파일, URL, IP 등의 악성코드 스캔 결과를 확인할 수 있는 웹 사이트이다. 또한, VirusTotal은 파일 해시값을 통해 이전의 악성 코드 검사 기록을 확인할 수 있다. 파일을 업로드하면 해당 파일의 해시값이 자동으로 생성되고, 이 해시값을 사용하여 VirusTotal에서 해당 파일의 과거 스캔 결과를 조회할 수 있는 것이다. 크게 웹 사이트 내에는 위와 같이 FILE / URL.. 2023. 12. 24. 이전 1 다음
