분석 순서 기초분석 → 정적분석 → 동적분석 정적분석 악성코드를 실행시키지 않은 상태에서 그 자체가 가지고 있는 속성을 분석 검사하다보면 악성코드를 실행시키는 경우가 있기 때문에 가상환경을 설정해야 함 기초 분석 바이러스 토탈 : 각 백신에 따른 악성코드 여부 확인과 해시값 조회를 통해 과거 검사 결과까지 확인 패킹 여부 확인 패킹(Packing) : 실행파일을 압축하는 기술로 많은 악성코드 파일에 적용되어 있음 그 이유는 악성코드를 담고 있는 파일의 크기를 줄여 좀 더 빠르게 유포하고 악성코드 파일 디버깅을 하기 어렵게 만들기 위함 따라서, 패킹이 적용된 악성코드를 분석할 때에는 먼저 패킹을 해제하고 분석을 해 나가는 것이 바람직함 Exeinfo : PE파일 생성에 사용했던 패커나 컴파일러를 확인 할 ..

Virustotal무료 온라인 바이러스 검사 웹사이트로 각기 다른 60개~70여개의 안티바이러스 엔진들이 의심스러운 파일이나 URL 주소를 검사해 각각의 백신에서 어떠한 진단명으로 악성 코드로 진단을 하고 있는지 보여줍니다.또한, 악성 경유지로 활용이 되었던 이력들이 있는지 확인이 가능하여 국내외 보안 기업은 물론 대기업, 공공기관, 연구시설, 정부에서도 자주 사용하고 있습니다.FILE, URL, SEARCH  세가지 탭으로 구성되어 있습니다.바이러스 토탈 주소 : https://www.virustotal.com/gui/home/uploadFILE Tab1. Choose File 버튼을 클릭하여 파일을 지정하거나 직접 파일을 드래그 하여 업로드 할 수 있습니다. 2. 검사를 진행 후 악성코드가 검출되지 ..

보안관제 관제대상기관의 정보기술 및 다양한 IT자원을 해킹, 바이러스등과 같은 여러 사이버공격으로부터 보호하기 위해 실시간으로 모니터링을 수행하고 각종 보안이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무 → 실시간 모니터링과 탐지 및 대응을 통해 비밀성, 무결성, 가용성을 보호하기 위한 일련의 활동 보안관제 3가지 원칙 무중단의 원칙 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단없이 수행되어야 한다. ※ 모든 곳이 24시간 365일은 아님 전문성의 원칙 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에 관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 ..

정탐True Negative : 정상 패킷을 정상 접근이라고 탐지하여 그냥 통과시킨 것True Positive : 악성 코드를 공격 행위라고 탐지한 것으로, 문제가 있는 패킷을 제대로 잡아낸 것 오탐False Positive : 정상 패킷인데 악성코드로 잘못 탐지 대응 행동을 했지만 잘못한 것미탐False Negative : 악성 코드임에도 정상 접근으로 여겨 통과시킨 것대응 행동조차 하지 않은 것 악성 코드 (Malware): 하나의 컴퓨터, 서버 또는 컴퓨터 네트워크에 피해를 입히도록 설계된 모든 소프트웨어 바이러스악성코드의 가장 일반적인 형태로, 대부분의 사람들이 악성코드와 혼용하여 사용스스로를 복제하여 컴퓨터를 감염시키는 컴퓨터 프로그램 이메일 첨부파일이나 USB 속 감염파일 등을 통해 다른 PC..

DDOS 공격 (Distributed Denial of Service attack) 특정 서버나 컴퓨터, 네트워크 장비를 대상으로 많은 트래픽을 발생시켜 장애를 일으키는 대표적인 서비스 거부 공격 특정 공격자나 집단이 의도적으로 '디도스' 상황을 유발하는 것 디도스 공격 방법은 다양하지만, 사이트를 마비시키기 위하여 여러 클라이언트를 동원해 과도한 접속량을 주어 서버에 무리를 준다는 점은 똑같음 불특정 다수의 PC에 악성코드를 심어 유사시에 공격이 가능한 좀비 PC로 만든 뒤 공격에 동원함 악성코드에 감염된 수많은 좀비 PC가 공격자의 명령에 따라 일제히 서버가 허용하는 트래픽 용량을 넘어서는 대량의 트래픽을 서버에 전송하는 방식 이러한 공격은 대상 서버에 과도한 트래픽 소모 및 프로세스 진행, 과도한 ..

ICMP (Internet Control Message Protocol) 인터넷 제어 메시지 프로토콜 IP 패킷을 처리할 때 발생되는 문제를 알리거나, 진단 등과 같이 IP계층에서 필요한 기타 기능들을 수행하기 위해 사용되는 프로토콜 IP와 하나의 쌍을 이루며 동작하고 IP의 비신뢰적인 특성을 메꾸기 위하여 사용 ★꼭 알아둬야 할 오류 메세지 Destination Unreachable : 라우터가 특정 노드의 패킷을 목적지에 보내지 못할 경우, 송신 노드에게 이 에러 메시지를 보냅니다. 메시지 안에는 에러코드가 포함되어 목적지까지 전송되지 못한 이유를 알려줍니다. Redirection : 라우터가 송신측 노드에 적합하지 않은 경로로 설정되어 있을 경우 해당 노드에 대한 최적화된 경로를 재설정하라는 뜻입니..