idea5021 님의 블로그

[피드백]1. 수집정보 경로는 실무에서 1) 회사 내에서 악성 코드 샘플을 수집하는 장비를 통해서 2) 다른 기관을 통해서 위험 정보를 전달받는 경우 3) 보안관제, 침해사고 모니터링 하면서 공격을 당한 pc를 확인해서 수집하는 경우 4) 악성 코드를 수집할 수 있는 사이트를 통해서 2. 보고서 내용을 고객이 보는 입장에서 자세하게 풀어서 서술하기

[피드백]1. 샘플 파일 설명 표 형식으로 이름, 크기, 해시 값, 출처정보, 위협카테고리 등 만들어서 넣어주면 더 좋음.2. 보고서 페이지 수 제한은 없지만 20~30장이면 괜찮을듯 함.3. 대응방안을 어떻게 해야 하는지 사진도 같이 첨부하면 더 좋을 거 같음.4. 이미지는 읽는 사람이 잘 보이도록 해야하기때문에 안 보이는 부분은 확대해서 캡처할 것.

목차1. 샘플 파일 - 샘플 파일 소개 - 분석환경2. 기초 분석 - Virustotal3. 정적 분석 - Exeinfo - Peid - Bintext - Peview4. 동적 분석 - Process Explorer - Process Monitor - System Explorer - Autoruns - WireShark5. 결론 1. 샘플 파일 - 샘플 파일 소개  - 분석 환경Vmware 17 pro, Windows 10 pro에서 분석을 진행함.2. 기초 분석- Virustotal 72개 백신중 65개가 악성코드라고 표시가 됨. 위협 카테고리로는 Trojan 즉 트로이 목마라고 표시가 됨.     Details 탭에서 SVK-Protector와 UPX로 패킹을 했다는 것을 알게되었음.WIN 32 실행..

목차1. 샘플 파일2. 기초 분석  - Virustotal3. 정적 분석  - Exeinfo  - Peid  - Bintext  - Peview4. 동적 분석  - Process Explorer (프로세스 및 레지스트리)  - Process Monitor  - System Explorer  - Autoruns  - WireShark (네트워크 패킷 분석) 5. 결론 1. 샘플 파일 분석 환경에는 Vmware 17 pro, windows 11 pro 64bit 환경에서 진행함.  2. 기초 분석 - Virustotal  Virustotal에 bton02setup.exe를 스캔한 결과 73개의 백신 중 52개가 악성코드라고 판단을 했다.위협 카테고리로는 Trojan, Adware, Downloader가 나왔..

목차1. 정적 분석 도구 - exeinfo- peid- peview- bintext- strings2. 동적 분석 도구- cports- processMonitor- processexplorer- systemexplorer- autoruns- smsniff- wireshark  1. 정적 분석 도구- exeinfo해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 하였는지 확인이 가능한 도구 사용법1. 왼쪽에 폴더 모양 박스를 클릭해 파일을 불러온다.2. 위에서부터 파일이름, 파일 사이즈 등 이 있다.3. Bandzip.exe로 해봤을때 Image is 64bit로 나왔는데 64bit의 의미는 64 bit로 구동이 된다는 것을 알려준다.4. Bandzip.exe는 n..

목차1. vmware 설치2. window 10 pro 설치3. 악성코드 분석 Tool 설치4. 악성코드 샘플 수집 사이트 1. vmware 설치 https://access.broadcom.com/default/ui/v1/signin/ https://access.broadcom.com/default/ui/v1/signin/{PRELOAD_FONT} {PRELOAD_FONT} {PRELOAD_FONT} {PRELOAD_FONT}access.broadcom.com위 사이트에서 vmware 17 workstation pro 17을 다운받는다.   2. window 10 pro 설치 https://www.microsoft.com/ko-kr/software-download/windows10  1) window 1..

목차1. 정적 분석2. 동적 분석 1. 정적 분석소스 코드의 실행 없이 정적으로 프로그램의 문제를 찾는 과정을 의미한다.동적 분석과의 차이점은 분석 시점으로 동적 분석은 런타임 환경에서 분석을 진행하고 정적 분석은 비 런타임 환경에서 수행이된다.의심되는 파일을 실행하지 않고, 파일 자체가 가지고 있는 내용들을 확인해서 악의적인 코드를 지니고 있는지 여부를 분석하는 방식프로그램의 전체적인 구조를 파악하고, 어떤 함수로 구성이 되어 있는지, 어떠한 API를 사용하고, 어떤 문자열을 포함하는지 등을 종합적으로 확인하는 분석 형태이다. 파일을 실행하지 않는 특징을 가지고 있더라도 툴을 사용하다가 파일이 실행될수도 있기에 가상 샌드박스환경에서 분석을 진행해야한다.  정적 분석을 사용하는 이유잠재적으로 버그가 발생..

목차 1. Virustotal의 정의 및 기능 2. Virustotal의 사용방법 3. Virustotal을 통한 분석 방법 4. Virustotal 사용시 주의사항  1. Virustotal의 정의 및 기능 정의파일이나 URL이 악성코드 또는 다양한 보안 위협에 감염되었는지 여부를 확인하기 위한 온라인 서비스기능Virustotal은 70개가 넘는 antivirus scanners와 URL/domain blocklisting services를 이용하여 의심스러운 파일, URL, IP등을 검사하며 여러개의 파일 검사도 가능하고 파일형식에 따라 해당 파일을 분석한 결과를 보여준다.파일이나 URL에 대한 결과를 Community를 통해 서로에게 의견을 공유하는 기능을 가지고 있다.검사시 해당파일 검사결..

목차1. 보안관제 정의2. 보안관제 업무 절차3. 보안관제의 유형 및 특징4. 보안관제 업무 시 활용되는 웹페이지   1. 보안관제(MSS, Managed Security Service) 정의외부로부터의 침해시도를 예방하고 내부 정보자산을 보호하기 위해 정보보안 업무(모니터링, 탐지, 분석, 대응 등)를 수행하는 것보안관제의 목적은 이기종에서 탐지되는 보안 이벤트를 수집하고 공격에 대한 탐지, 차단, 대응하여 사전에 예방하고 보안하는 것보안관제 센터(Security Operations Center, SOC)는 조직의 정보 시스템과 네트워크에서 발생하는 보안 이벤트 및 사건을 모니터링하고 관리하는 활동이다.보안 이벤트 및 위협을 식별하고 대응하는 역할을 수행하여 조직의 정보 자신을 보호하는 주요 구성 요소..

목차1. 정탐과 오탐, 미탐의 의미2. 악성코드의 유형과 유형별 특징(대표적인 사례)   정탐과 오탐, 미탐의 의미 1. 정탐정상적으로 탐지를 한 것True Positive : 긍정적 사실, 정상적인 것을 정상으로 탐지한 것True Negative : 부정적 사실, 비정상인 것을 비정상이라고 탐지한 것, 문제가 있는 파일을 문제가 있다고 판단을 해서 격리 조치 등을 취한 것으로 문제가 없다.2. 오탐False Positive : 긍정적 틀림, 정상인 것을 비정상으로 탐지한 것, 문제가 없는 파일을 문제가 있다고 판단한 것으로 큰 문제로 이어질 가능성은 낮지만 큰 문제로 이어질 수도 있는 만큼 주의를 요함3. 미탐False Negative : 부정적 틀림, 부정적인걸 잡아내지 못하고 탐지조차 하지 않는 것..