악분의 블로그

안녕하세요. 이번시간에는 악성코드가 파일을 삭제할 때 발생하는 이벤트를 분석합니다. ​ 파일삭제 행위는 크게 3가지 이유가 있습니다. 1) 악성코드를 발견하지 못하도록 악성코드 삭제 2) 악성행위 중에 임시로 생성한 파일 삭제 3) 어플리케이션 또는 시스템에 영향을 주기 위해 중요한 파일 삭제 ​ 안타깝게도 쉬운예제를 찾으려고 했으나 2번과 3번은 찾지 못했습니다. 아쉬운대로 1번 상황에 맞는 예제를 살펴보도록 하겠습니다. Notion에서 작성한 글이 더 보기 편합니다. Notion 링크: https://www.notion.so/6057fce82e984d098b5d7dc77060e3c0 1. anyrun 샌드박스에서 파일삭제 분석 악성코드는 한 번 실행되면 흔적을 지우려고 합니다. 대표적인 예가 악성코드..

안녕하세요. 이번 시간에 다룰 내용은 njrat악성코드에서 생성한 파일이 실행되는 이벤트를 분석합니다. 3번째 예제와 동일한 주제이지만 요즘 유행하고 있는 악성코드를 소개하고자 njrat를 선택했습니다. 실습은 애니런샌드박스로만 사용합니다. 2020.6.16~6.23일 기간동안 가장 활발히 활동한 악성코드 중 4번째가 njrat라고 합니다. 출처: https://www.boannews.com/media/view.asp?idx=89172 영상은 https://tv.naver.com/v/14448610 에서 보실 수 있습니다. [악성코드 분석 입문] 예제4 - njrat 파일 생성 이벤트 분석 악분 | 안녕하세요. 이번 시간에는 3번째 예제와 같은 주제인 "생성한 파일이 실행되었는지" 분석하는 시간입니다. ..

안녕하세요. 이번 시간에는 생성된 파일이 실행되었는지 확인하는 예제입니다. ​ 악성코드는 악성행위를 숨기기 위해서 파일을 생성하고 그 파일이 악성행위를 하는 경우가 많습니다. 그러므로 이 주제를 선정하게 되었습니다. ​ [악성코드 분석 입문] 예제3 - 생성된 파일이 실행되었는지 확인 악분 | 안녕하세요. 이번 시간에는 생성된 파일이 실행되었는지 확인하는 예제입니다. 악성코드는 악성행위를 숨기기 위해서 파일을 생성하고 그 파일이 악성행위를 하는 경우가 많습니다. 그�� tv.naver.com

안녕하세요. 이번 시간에는 파일을 이동시키는 악성코드를 분석합니다. 다른 악성행위는 분석하지 않고 오직 파일 이동에 관련된 것만 다룹니다. [악성코드 분석 입문] 예제2 - 파일이동 악분 | 이번 예제는 파일 이동을 시키는 악성코드를 분석합니다. 예제 링크: https://app.any.run/tasks/98437d6e-759f-4b82-9f78-acb5e4ce74ce/ tv.naver.com

샌드박스와 행위분석으로 "파일 생성"이벤트만 분석합니다. [악성코드 분석 입문] 예제1 - 파일생성 악분 | 샌드박스와 행위분석으로만 악성코드를 분석하는 입문강좌입니다. 악성코드 예제 다운로드 링크: https://app.any.run/tasks/f22abe03-0f95-4892-9b8a-60d018718336/ tv.naver.com

악성코드 분석의 정석이라고 불리는 "실전 악성코드와 멀웨어 분석"책은 2010년 초반에 출판되었습니다. 아주 훌륭한 책임에는 틀림없지만 윈도우 xp를 기준으로 설명되어 있고 소스코드 분석을 기반한 분석에 치우쳐져 있습니다. ​ 또한 악성코드 분석 자동 분석기술이 매우 발전했습니다. 프로그래밍을 배우지 않아도 프로그램을 만들 수 있는 것처럼 분석기술을 몰라도 분석을 할 수 있는 시대가 되었습니다. 각 회사 제품이 분석 결과를 보고서 형태로 출력하는데 도움말을 보면서 보고서를 해석할 줄만 알면 됩니다. ​ 글을 쓰게 된 가장 중요한 이유는 신입기준 채용기준이 변했습니다. 기술발전으로 악성코드 분야 신입 채용에서는 학력/전공 무관으로 바뀌고 기술면접이 사라지고 있는 추세입니다. 그 대신 회사에 잘 적응할 수 ..