본문 바로가기

정적분석2

20. 악성코드 샘플 수집 및 기초 • 정적분석 (1) 이전에 구성한 Snort 환경을 기반으로 탐지 패턴을 만들어야 하기 때문에 네트워크 행위를 명확하게 하는 샘플을 찾는 것이 중요하다. 하지만 샘플이 HTTPS로 통신을 하게 되면 관련 패킷들이 모두 암호화가 되어있다 보니 네트워크 행위를 하더라도 HTTP로 통신을 하는 샘플을 찾아야 되는 수고로움이 있다. 이 샘플을 구하는 것 자체가 생각보다 많은 시간이 소요되며, 실무에서도 동일한 업무를 수행할 때 정말 많은 비중을 차지한다고 한다. 탐지 패턴을 하나 만드는 데 보통 3주 정도 기간을 갖고 진행을 한다고 봤을 때, 평균적으로 1주에서 2주 정도를 샘플링을 하는데 시간을 보낸다고 한다. 그리고 샘플 분석에 3일, 보고서를 작성하는 데 2~3일을 일반적인 기간으로 본다. 샘플이 네트워크 행위를 정말로 하는.. 2024. 3. 31.
11. 정적 / 동적분석 / Tools 정적분석과 동적분석의 개념과 각각의 Tool(도구)는 무엇이 있는지 알아보자. 위의 개념들도 중요하지만, 툴을 직접적으로 사용해서 악성코드 분석에 활용하는 것이 앞으로 좀 더 중요하게 봐야 될 포인트라고 할 수 있다. 그래서 앞으로 가상 환경을 구성하여 해당 환경 내에서 직접적으로 툴을 직접 사용해 보면서 사용법을 익히고 악성코드 분석을 진행하는 과정을 거칠 것이다. 정적분석, 동적분석 - 개념 악성 코드 분석할 때 기본적으로 정적분석과 동적분석 두 가지로 나눠서 진행한다. 이 정적분석과 동적분석의 방향성을 제시해 주는 것이 기초분석 즉, Virustotal을 통해서 진행하는 분석방법인 것이다. 그리고 분석을 진행할 때 분석 방법에 해당하는 각각의 도구들을 적절히 활용하여 분석을 진행하는 것이다. 먼저 .. 2024. 1. 9.