악분의 블로그

샌드박스와 행위분석으로 "파일 생성"이벤트만 분석합니다. [악성코드 분석 입문] 예제1 - 파일생성 악분 | 샌드박스와 행위분석으로만 악성코드를 분석하는 입문강좌입니다. 악성코드 예제 다운로드 링크: https://app.any.run/tasks/f22abe03-0f95-4892-9b8a-60d018718336/ tv.naver.com

악성코드 분석의 정석이라고 불리는 "실전 악성코드와 멀웨어 분석"책은 2010년 초반에 출판되었습니다. 아주 훌륭한 책임에는 틀림없지만 윈도우 xp를 기준으로 설명되어 있고 소스코드 분석을 기반한 분석에 치우쳐져 있습니다. ​ 또한 악성코드 분석 자동 분석기술이 매우 발전했습니다. 프로그래밍을 배우지 않아도 프로그램을 만들 수 있는 것처럼 분석기술을 몰라도 분석을 할 수 있는 시대가 되었습니다. 각 회사 제품이 분석 결과를 보고서 형태로 출력하는데 도움말을 보면서 보고서를 해석할 줄만 알면 됩니다. ​ 글을 쓰게 된 가장 중요한 이유는 신입기준 채용기준이 변했습니다. 기술발전으로 악성코드 분야 신입 채용에서는 학력/전공 무관으로 바뀌고 기술면접이 사라지고 있는 추세입니다. 그 대신 회사에 잘 적응할 수 ..

시작하며 2월 마지막 주에는 헤븐즈게이트 주제를 선택했습니다. 헤븐즈게이트는 Trickbot악성코드를 분석하다가 우연히 발견했습니다. call far이라는 처음 본 명령어를 발견하여 구글에 검색했습니다. 32비트 프로그램이 64비트 명령어를 호출하는 명령어라고 합니다. 악성코드는 헤븐즈게이트를 기술을 악용해서 백신우회 및 분석 방해를 합니다. 개인적인 생각으로는 2020년 이후부터 많이 보일 것으로 생각됩니다. 헤븐즈게이트 원리와 분석영상은 아래 유부트 링크에서 보실 수 있습니다. https://youtu.be/LDFAX-9oTw0 wow64 윈도우 모듈 64비트 윈도우 시스템에서 32비트 프로그램을 실행하면 놀랍게도 64비트 모듈이 자동으로 메모리에 올라갑니다. 이 모듈은 32비트 실행을 중간에 받아 ..

안녕하세요. 이번 시간에는 악성코드 전용 탐색기를 아마존 클라우드에 설치하는 과정을 소개합니다. 언제 어디서나 탐색기에 접근 할 수 하기 위해 아마존 클라우드에 설치했습니다. 탐색기는 악성코드 저장과 검색, 다운로드, 분석 기능이 있습니다. 설치 과정은 녹화하여 유튜브에 업로드 했습니다. https://youtu.be/aAE5xsdOg9w 악성코드 탐색기는 바이퍼 프레임워크 오픈소스입니다. 소스코드는 github(https://github.com/viper-framework/viper)에 공개되어 있습니다. 설치는 pip명령어로 단순하게 설치 할 수 있습니다. 악성코드는 윈도우 디펜더 등 백신이 삭제하기 때문에, 윈도우 시스템에서 보관하기 어렵습니다. 그래서 리눅스를 설치해서 보관해야 하는데, 악성코드 ..

시작하며 우연히, 구독자분의 요청으로 RTF악성코드 분석을 시작했습니다. 바이러스 토탈의 처음 분석결과 CVE취약점을 발견했지만, 제가 직접 분석한 결과 해당 취약점이 아니였습니다. 오탐이었죠... 우여곡절 끝에 분석을 거의 끝냈고 그 결과를 유투브 영상에 공개했습니다. 그리고, 이 글에서는 유투브 링크를 남깁니다. 영상을 보면 어떤 도움이 될까 생각봤습니다. 1. 스택오버플로우가 어떻게 실제공격에 사용되는지 궁금하시는 분 2. 데이터 분석관점에서 어떻게 악성코드 행위를 분석하는지 궁금하신 분 3. 분석한 악성코드를 탐지하기 위한 야라룰 생성이 궁금하신 분 4. ATT&CK Matrix에 악성코드를 어떻게 대입하는지 궁금하시는 분 악성행위 요약 분석결과, 크게 3가지 악성행위를 하는 것으로 생각합니다. ..

안녕하세요. 이글에서는 2019.4번째 칼리 리눅스를 대상으로 한글설치하는 과정을 설명합니다. 추가로 한영키 전환 설정도 있습니다. 설치 과정은 글(github)과 영상이 있습니다 글: https://github.com/choisungwook/malware/tree/master/03%20other/05%20kali_hangul 영상: https://youtu.be/YQBskCczTNs