악성코드 샘플 수집 및 분석악성 샘플 수집악성 코드의 네트워크 동작이 잘 나타나 있는 ANY RUN에서 adware를 검색하여 나타나는 악성 코드 중 네트워크 동작이 많은 Adobe_Acrobat_msetup_aVkyy.exe 샘플을 사용했습니다. 해당 샘플의jhshob123.tistory.com 이 글에서 분석했던 Adobe_Acrobat_msetup_aVkyy.exe 악성 코드에 관한 분석 보고서를 작성했습니다. 보고서 작성 시 고려한 포인트모를 수 있는 단어(dll파일 동작, 악성코드 분석 도구 등)에 대한 설명추가이미지에 빨간색 박스 표시위의 포인트 들을 추가하여 가독성을 높이고 관련 지식이 없는 사람들도 이해할 수 있도록 했습니다.

악성 샘플 수집악성 코드의 네트워크 동작이 잘 나타나 있는 ANY RUN에서 adware를 검색하여 나타나는 악성 코드 중 네트워크 동작이 많은 Adobe_Acrobat_msetup_aVkyy.exe 샘플을 사용했습니다. 해당 샘플의 해쉬 값은 아래와 같습니다. MD5: 502db3fdcb1f401bab3247411e506457SHA-1: 502db3fdcb1f401bab3247411e506457SHA-256: e4e9c9cefed88c575143b93d946d2258cdd4d041b6addb5fb29ba3f0931311b7 기초분석VirusTotalVirusTotal에 다운받은 샘플 파일을 업로드하여 결과를 확인했습니다. Threat categories를 살펴보면 에드웨어, 트로이목마, 다운로더 계열의..

CERT란?CERT는 카네기멜런대학교의 첫 비상 대응팀의 이름은 CERT/CC에서 유래했습니다. CERT는 Computer Emergency Response Team의 약어로 직독직해를 한다면 "컴퓨터 비상 대응팀" 또는 "침해사고대응팀"으로 번역할 수 있습니다.어떤 팀들은 보안 사고에 대응하는 조직이라는 것을 더 명확히 하기 위해서 CSIRT(Computer Security Incident Response Team, 컴퓨터 보안사고 대응 팀)이라는 표현을 사용하기도 합니다. KISA의 정보보호 용어집에 따르면 CERT는 "기업 등 한 조직 내에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안 강화 등의 임무를 수행하는 대응조직"입니다. CERT 업무보안 사고 예방을 위한 ..

주의사항설치할 툴인 BASE, XAMPP, ADODB간의 PHP버전 호환성 때문에 오류가 발생할 가능성이 있습니다. BASE PHP버전과 호환되는 XAMPP, ADODB 버전을 설치하시기를 권장드립니다.(필자의 환경 구성에서 BASE는 SourceForge에서의 최신 버전인 2013/06/03 업데이트 버전을 사용하였고 XAMPP 1.7.1 win32, ADOdb 5.20 버전을 사용했습니다.) 가상 환경 생성VMWare에서 Snort 환경을 구성할 Server와 악성코드 행위 분석용 Client를 생성했습니다. Snort 설치버전 3.0부터는 리눅스만 지원하기 때문에 2번대의 버전을 사용했습니다.그리고 MySQL에 사용할 스키마를 지원하는 마지막 버전인 2.9.2.3을 설치했습니다. 파일은 공식 홈페이..

Snort란?Snort란 1998년에 오픈소스 기반의 네트워크 침입 차단 시스템(NIPS, Network Instrusion Prevention System)이자 네트워크 침입 탐지 시스템(NIDS, Network Instrusion Detection System)으로 개발되었습니다.실시간 트래픽 분석 및 패킷 로깅이 가능한 IPS입니다. Snort의 3가지 기능Packet Sniffer: 네트워크 패킷을 읽고 콘솔에 보여주는 기능을 합니다.Packet Logger: 네트워크 패킷을 읽고 디스크에 기록하여 디버깅에 활용할 수 있도록 합니다.IDS/IPS: 네트워크 트래픽 분석, 침입 탐지 및 차단 기능을 합니다.  Snort 작동 방식패킷 스니퍼OS의 패킷 캡처 라이브러리를 이용하여 실시간으로 네트워크 ..

지난번에 분석했던 dgrep.exe파일을 악성코드 분석 보고서의 형식으로 분석해보았습니다. 알게 된 점보안 업계에서의 결과물은 대부분 보고서의 형태를 가지고 있다. 따라서 보고서로 정리하는 기술이 중요하다.보고서는 전문적인 지식이 없는 사람이 보더라도 내용을 잘 이해할 수 있도록 풀어서 친절하게 설명해야 한다.대응방안 작성 시 구체적이고 잘 따라할 수 있도록 설명해야 한다.

Dgrep.exe 파일을 윈도우 7 64bit 환경에서 관리자 권한으로 실행 시킨 후 분석했습니다. Process Explorer실행결과 dgrep.exe>cmd.exe>PING.exe가 실행되는 것을 확인할 수 있었습니다.rundll21.exe>wiseman.exe가 실행되는 것을 확인할 수 있었습니다.dgrep.exe>cmd.exe는 빠르게 사라졌습니다.Process Monitordgrep.exe 프로세스가 하는 동작을 살펴보면 cmd를 실행하는 것을 확인할 수 있습니다. cmd.execmd에서는 PING.exe를 실행하는 것을 알 수 있습니다. 또한 C:/Users/user/AppData/Local/Temp 디렉토리에 bqrinw.exe를 생성하고 실행하는 것을 확인할 수 있습니다.여러번 dgrep..

VirusTotal바이러스토탈 검색결과 73개 중 68개의 엔진에서 악성 파일로 탐지되었습니다.Threat categories를 확인해보면 트로이목마 계열의 악성코드라는 것을 확인할 수 있습니다.각각의 엔진의 진단 특이사항을 살펴보면 윈도우즈 32비트 환경에서 구동될 수 있다는 것을 확인했습니다. Details 탭의 Basic properties를 살펴보면 SVK-Protector v1.11과 UPX로 패킹이 되어있을 것으로 보여집니다.아까 확인했듯이 윈도우 32비트 용이라는 것도 다시 확인 가능합니다. Relations 탭에 들어가보면 해당 파일은 api.wisemansupport.com이라는 URL과 연관되어 있다는 것을 확인할 수 있습니다. Packing 유무Exeinfo PE를 통해 패킹 여부를 ..