wireshark4 21. 악성코드 샘플 동적분석 • Snort (2) 저번 분석에 이어서 동적분석과 Snort를 통한 탐지 패턴 생성을 진행할 것이다. 악성샘플 정보 – feb document 10998 해당 샘플은 ".NET.. 2024. 4. 8. 16. 악성코드 샘플 분석(2) : 하 이번 글에서는 저번 정적분석 글에 이어서 동적분석을 진행할 것이다. 동적분석 - Process Explorer 위의 사진은 dgrep.exe를 실행 후 순간적으로 일어난 프로세스를 캡처한 것이다. 'conhost.exe', 'cmd.exe' 프로세스는 cmd를 실행시키는 행위 'PING.EXE' 프로세스는 TCP/IP Ping 명령으로 네트워크 관련 행위를 하는 것으로 추정이 가능하다. 후속 동적분석에서 위의 3가지 프로세스를 유심히 살펴볼 필요성이 있다. 실행 후 시간이 어느 정도 지난 후의 프로세스 캡처본이다. 먼저 dgrep.exe 원본 파일이 삭제된 것으로 보아 트로이목마 성격을 가지고 있음을 알 수 있으며, 'rundll32.exe'이라는 파일을 실행시키면서 'wiseman.exe'이라는 프로세.. 2024. 2. 19. 14. 악성코드 샘플 분석(1) 악성코드 분석은 사실상 정답이 없는 문제를 푸는 것과 유사하다고 표현한다. 즉, 최대한 많은 분석들을 통해서 직접 쌓은 경험을 기반으로 답을 도출해 나가는 과정이다. 또한 악성코드는 분석하는 환경에 따라서도 얼마든지 결과가 달라질 수 있으며, 악성코드 자체적으로 시간이 지남에 따라 활동의 변화가 생길 수 있다. Virustotal에서 누군가 과거에 분석한 결과와 본인이 직접 분석한 결과가 다르다고 해도 본인이 틀렸다고 생각할 이유는 없는 것이다. 이러한 이유로 악성코드가 어떻게 동작할지 자세하게 알 수 없기 때문에, 우리는 최대한 여러 가지 툴을 잘 활용하고 상세한 분석을 통해 결과를 만들어나가는 것이다. 이번 글에서는 "bton02setu.exe" 라는 샘플 파일을 분석해 볼 것이다. 먼저 파일의 속성.. 2024. 1. 28. 11. 정적 / 동적분석 / Tools 정적분석과 동적분석의 개념과 각각의 Tool(도구)는 무엇이 있는지 알아보자. 위의 개념들도 중요하지만, 툴을 직접적으로 사용해서 악성코드 분석에 활용하는 것이 앞으로 좀 더 중요하게 봐야 될 포인트라고 할 수 있다. 그래서 앞으로 가상 환경을 구성하여 해당 환경 내에서 직접적으로 툴을 직접 사용해 보면서 사용법을 익히고 악성코드 분석을 진행하는 과정을 거칠 것이다. 정적분석, 동적분석 - 개념 악성 코드 분석할 때 기본적으로 정적분석과 동적분석 두 가지로 나눠서 진행한다. 이 정적분석과 동적분석의 방향성을 제시해 주는 것이 기초분석 즉, Virustotal을 통해서 진행하는 분석방법인 것이다. 그리고 분석을 진행할 때 분석 방법에 해당하는 각각의 도구들을 적절히 활용하여 분석을 진행하는 것이다. 먼저 .. 2024. 1. 9. 이전 1 다음