악분의 블로그

신용어신용어 1~2문제가 꾸준히 나왔었다. 마지막 보안기사 신용어는 DDE였으며 다행히 맞았다. 이번 보안기사는1. 악성코드가 쪽이 나오면 인포스틸러, asmi, wasm, vba stomping가 나오지 않을까?2. 사회이슈라면 재택근무와 관련된 VDI 또는 RDS(원격 데스크톱 서비스), MFA(다중인증)이 나오지 않을까?3. 취약점이라면 블루킵이 나오지 않을까?4. 사업분야라면 마이데이터, 블록체인요소, 인공지능:딥페이크가 나오지 않을까? 이외ISMS, ISO, CC 중 1개전자서명, 암호 알고리즘 1개VPN, SSL/TLS 중 1개snort, iptables 중 1개리눅스 로그, 윈도우 로그 중 1개위험관리, 정보보호 대책 1개클라우드 1문제 iam, eam 보안 솔루션, 특히 해킹메일증가로 스팸..

이번 시간에는 파일을 검색하는 인포스틸러 행위를 살펴봅니다. 최근 정보를 훔치는 인포스틸러 악성코드가 유행함에 따라 파일을 탐색하는 악성행위도 같이 증가했습니다. 인포스틸러는 정보를 훔치는 행위로 중요한 파일을 찾거나 메모리에 있는 정보를 찾습니다. 관련뉴스 1: 브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장 https://www.boannews.com/media/view.asp?idx=85751&kind=14 관련뉴스 2: 미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드 https://blog.alyac.co.kr/3098 관련뉴스 3: 인포스틸러(정보탈취) 악성코드가 55.9%로 1위 차지 https://www.boannews.com/media/view.a..

안녕하세요. 이번시간에는 악성코드가 파일을 삭제할 때 발생하는 이벤트를 분석합니다. ​ 파일삭제 행위는 크게 3가지 이유가 있습니다. 1) 악성코드를 발견하지 못하도록 악성코드 삭제 2) 악성행위 중에 임시로 생성한 파일 삭제 3) 어플리케이션 또는 시스템에 영향을 주기 위해 중요한 파일 삭제 ​ 안타깝게도 쉬운예제를 찾으려고 했으나 2번과 3번은 찾지 못했습니다. 아쉬운대로 1번 상황에 맞는 예제를 살펴보도록 하겠습니다. Notion에서 작성한 글이 더 보기 편합니다. Notion 링크: https://www.notion.so/6057fce82e984d098b5d7dc77060e3c0 1. anyrun 샌드박스에서 파일삭제 분석 악성코드는 한 번 실행되면 흔적을 지우려고 합니다. 대표적인 예가 악성코드..

안녕하세요. 이번 시간에 다룰 내용은 njrat악성코드에서 생성한 파일이 실행되는 이벤트를 분석합니다. 3번째 예제와 동일한 주제이지만 요즘 유행하고 있는 악성코드를 소개하고자 njrat를 선택했습니다. 실습은 애니런샌드박스로만 사용합니다. 2020.6.16~6.23일 기간동안 가장 활발히 활동한 악성코드 중 4번째가 njrat라고 합니다. 출처: https://www.boannews.com/media/view.asp?idx=89172 영상은 https://tv.naver.com/v/14448610 에서 보실 수 있습니다. [악성코드 분석 입문] 예제4 - njrat 파일 생성 이벤트 분석 악분 | 안녕하세요. 이번 시간에는 3번째 예제와 같은 주제인 "생성한 파일이 실행되었는지" 분석하는 시간입니다. ..

안녕하세요. 이번 시간에는 생성된 파일이 실행되었는지 확인하는 예제입니다. ​ 악성코드는 악성행위를 숨기기 위해서 파일을 생성하고 그 파일이 악성행위를 하는 경우가 많습니다. 그러므로 이 주제를 선정하게 되었습니다. ​ [악성코드 분석 입문] 예제3 - 생성된 파일이 실행되었는지 확인 악분 | 안녕하세요. 이번 시간에는 생성된 파일이 실행되었는지 확인하는 예제입니다. 악성코드는 악성행위를 숨기기 위해서 파일을 생성하고 그 파일이 악성행위를 하는 경우가 많습니다. 그�� tv.naver.com

안녕하세요. 이번 시간에는 파일을 이동시키는 악성코드를 분석합니다. 다른 악성행위는 분석하지 않고 오직 파일 이동에 관련된 것만 다룹니다. [악성코드 분석 입문] 예제2 - 파일이동 악분 | 이번 예제는 파일 이동을 시키는 악성코드를 분석합니다. 예제 링크: https://app.any.run/tasks/98437d6e-759f-4b82-9f78-acb5e4ce74ce/ tv.naver.com

샌드박스와 행위분석으로 "파일 생성"이벤트만 분석합니다. [악성코드 분석 입문] 예제1 - 파일생성 악분 | 샌드박스와 행위분석으로만 악성코드를 분석하는 입문강좌입니다. 악성코드 예제 다운로드 링크: https://app.any.run/tasks/f22abe03-0f95-4892-9b8a-60d018718336/ tv.naver.com

악성코드 분석의 정석이라고 불리는 "실전 악성코드와 멀웨어 분석"책은 2010년 초반에 출판되었습니다. 아주 훌륭한 책임에는 틀림없지만 윈도우 xp를 기준으로 설명되어 있고 소스코드 분석을 기반한 분석에 치우쳐져 있습니다. ​ 또한 악성코드 분석 자동 분석기술이 매우 발전했습니다. 프로그래밍을 배우지 않아도 프로그램을 만들 수 있는 것처럼 분석기술을 몰라도 분석을 할 수 있는 시대가 되었습니다. 각 회사 제품이 분석 결과를 보고서 형태로 출력하는데 도움말을 보면서 보고서를 해석할 줄만 알면 됩니다. ​ 글을 쓰게 된 가장 중요한 이유는 신입기준 채용기준이 변했습니다. 기술발전으로 악성코드 분야 신입 채용에서는 학력/전공 무관으로 바뀌고 기술면접이 사라지고 있는 추세입니다. 그 대신 회사에 잘 적응할 수 ..

시작하며 2월 마지막 주에는 헤븐즈게이트 주제를 선택했습니다. 헤븐즈게이트는 Trickbot악성코드를 분석하다가 우연히 발견했습니다. call far이라는 처음 본 명령어를 발견하여 구글에 검색했습니다. 32비트 프로그램이 64비트 명령어를 호출하는 명령어라고 합니다. 악성코드는 헤븐즈게이트를 기술을 악용해서 백신우회 및 분석 방해를 합니다. 개인적인 생각으로는 2020년 이후부터 많이 보일 것으로 생각됩니다. 헤븐즈게이트 원리와 분석영상은 아래 유부트 링크에서 보실 수 있습니다. https://youtu.be/LDFAX-9oTw0 wow64 윈도우 모듈 64비트 윈도우 시스템에서 32비트 프로그램을 실행하면 놀랍게도 64비트 모듈이 자동으로 메모리에 올라갑니다. 이 모듈은 32비트 실행을 중간에 받아 ..

안녕하세요. 이번 시간에는 악성코드 전용 탐색기를 아마존 클라우드에 설치하는 과정을 소개합니다. 언제 어디서나 탐색기에 접근 할 수 하기 위해 아마존 클라우드에 설치했습니다. 탐색기는 악성코드 저장과 검색, 다운로드, 분석 기능이 있습니다. 설치 과정은 녹화하여 유튜브에 업로드 했습니다. https://youtu.be/aAE5xsdOg9w 악성코드 탐색기는 바이퍼 프레임워크 오픈소스입니다. 소스코드는 github(https://github.com/viper-framework/viper)에 공개되어 있습니다. 설치는 pip명령어로 단순하게 설치 할 수 있습니다. 악성코드는 윈도우 디펜더 등 백신이 삭제하기 때문에, 윈도우 시스템에서 보관하기 어렵습니다. 그래서 리눅스를 설치해서 보관해야 하는데, 악성코드 ..