악성코드 분석5 22. 악성코드 분석 보고서 (3) 이번 글은 직전에 분석했던 "feb document 10998.exe" 악성코드에 대한 분석 보고서이다.이전에 분석했던 "dgrep.exe" 악성코드 분석 보고서와는 달리 보완한 점은 다음과 같다. 페이지 넘버링전문 용어 주석 추가파일 분석 정보 SHA-256, 샘플 수집 환경 정보 추가텍스트 내에 중요하게 봐야 할 포인트 볼드체, 밑줄 표시, 색상 등 활용기초, 정적, 동적분석 결론 추가예방 및 대응방안 실시 과정 예시 추가 2024. 4. 28. 21. 악성코드 샘플 동적분석 • Snort (2) 저번 분석에 이어서 동적분석과 Snort를 통한 탐지 패턴 생성을 진행할 것이다. 악성샘플 정보 – feb document 10998 해당 샘플은 ".NET.. 2024. 4. 8. 15. 악성코드 샘플 분석(2) : 상 악성코드 샘플 분석을 할 때, 일반 사용자의 권한으로 실행시키는 방법도 있지만 우클릭을 통해서 관리자 권한으로 실행시키는 방법이 존재한다. 관리자 권한으로 실행시켰을 때는 좀 더 다른 내용들을 볼 수 있는 경우도 존재하기 때문에, 이를 하나의 팁으로 생각하고 진행해도 좋다. 물론 샘플 파일이 활동했던 과거와는 많이 달라져서 현재 시점에서는 특이한 포인트가 많이 보이지 않을 수 있다. 이번 글에서는 "dgrep.exe"라는 샘플 파일을 분석해 볼 것이다. 생성일이 현재 시점으로부터 약 8년 이상의 차이가 있다. 현재는 정상적으로 작동하지 않을 가능성이 매우 높다고 유추할 수 있다. 기초분석 - Virustotal DETECTION 72개의 백신 중 67개의 백신이 악성코드로 진단하였으므로, 해당 파일은 악.. 2024. 2. 16. 14. 악성코드 샘플 분석(1) 악성코드 분석은 사실상 정답이 없는 문제를 푸는 것과 유사하다고 표현한다. 즉, 최대한 많은 분석들을 통해서 직접 쌓은 경험을 기반으로 답을 도출해 나가는 과정이다. 또한 악성코드는 분석하는 환경에 따라서도 얼마든지 결과가 달라질 수 있으며, 악성코드 자체적으로 시간이 지남에 따라 활동의 변화가 생길 수 있다. Virustotal에서 누군가 과거에 분석한 결과와 본인이 직접 분석한 결과가 다르다고 해도 본인이 틀렸다고 생각할 이유는 없는 것이다. 이러한 이유로 악성코드가 어떻게 동작할지 자세하게 알 수 없기 때문에, 우리는 최대한 여러 가지 툴을 잘 활용하고 상세한 분석을 통해 결과를 만들어나가는 것이다. 이번 글에서는 "bton02setu.exe" 라는 샘플 파일을 분석해 볼 것이다. 먼저 파일의 속성.. 2024. 1. 28. 10. Virustotal Virustotal(https://www.virustotal.com/)은 보안 분야에서 실무를 하게 될 때, 정말 많이 사용되는 웹 사이트 중 하나이다. IP 주소, 도메인 주소 검색, 악성코드 분석, 샘플 파일 분석 등 정말 많은 목적으로 사용한다. Virustotal 기능 약 70여 개의 안티바이러스 엔진을 활용하여, 파일, URL, IP 등의 악성코드 스캔 결과를 확인할 수 있는 웹 사이트이다. 또한, VirusTotal은 파일 해시값을 통해 이전의 악성 코드 검사 기록을 확인할 수 있다. 파일을 업로드하면 해당 파일의 해시값이 자동으로 생성되고, 이 해시값을 사용하여 VirusTotal에서 해당 파일의 과거 스캔 결과를 조회할 수 있는 것이다. 크게 웹 사이트 내에는 위와 같이 FILE / URL.. 2023. 12. 24. 이전 1 다음
