샘플 파일 분석할 파일인 bton02setup.exe 파일 에 보이는 파일을 Virustotal 과 여러 분석 툴들을 활용해 분석을 하였습니다. 해당 파일은 악성파일이며, 분석 진행은 이전에 구축해둔 가상환경 Windows 7 Professional 64bit 에서 진행 하였습니다. 기초 분석 Virustotal 스캔 결과 해당 파일의 기본적인 정보를 얻기위해 Virustotal 로 해당 파일을 스캔하였습니다. 71개 엔진 중 51개 엔진이 해당 파일을 악성 파일로 진단하였습니다. 진단명을 살펴보면 PUP, Adware, Trojan, Downloader, Win32 로 진단을 많이 한 것을 확인 했을 때 해당 파일은 Adware, Downloader, Trojan 형태의 악성 코드로 보여집니다. Win..

샘플 파일 분석 할 파일 dgrep.exe 위 사진은 이번에 분석할 파일입니다. 분석 환경은 Vmware Workstation 17 Pro, Windows 7 Professional K 64bit 운영체제에서 분석을 진행하였습니다. 기초 분석 Dgrep.exe 파일을 Virustotal에서 스캔한 모습 결과를 보면 71개 엔진 중 66 개 엔진이 해당 파일을 악성 파일로 진단한 것을 확인할 수 있다. 조금 더 자세히 각각의 진단명을 살펴보면 Backdoor, Trojan, Win32, Packed, Downloader 라는 진단명이 보이는 것을 확인할 수 있습니다. 위 진단명들을 종합해서 본다면 해당 파일은 Backdoor, Trojan, Downloader 계열 악성코드일 가능성이 높고, 패킹 처리가 ..

Vmware 가상환경 생성과 Window os 설치 Vmware workstation pro 17을 설치하고 실행합니다. Vmware 설치 후, 홈에서 creat a new virtual machin을 클릭합니다. tipical과 custom 버튼이 나오는데, custom은 사용자 지정 모드로 하나하나 설정해줘야 하기 때문에 저는 그보다 쉽게 구성 가능한 typical을 선택했습니다. 게스트 운영체제 설치방법으로, 두 번째 disc image file 버튼을 클릭하여 윈도우 7이 있는 경로를 입력해 해당 iso파일을 삽입하여 진행했습니다. 윈도우 제품 키를 넣는 창은 next를 눌러 넘어갔습니다. 가상머신의 이름과 저장할 경로를 정해주는 창입니다. 저는 c드라이브에 여유 공간이 충분하지 않아 d드라이브로..

분석 순서 기초분석 → 정적분석 → 동적분석 정적분석 악성코드를 실행시키지 않은 상태에서 그 자체가 가지고 있는 속성을 분석 검사하다보면 악성코드를 실행시키는 경우가 있기 때문에 가상환경을 설정해야 함 기초 분석 바이러스 토탈 : 각 백신에 따른 악성코드 여부 확인과 해시값 조회를 통해 과거 검사 결과까지 확인 패킹 여부 확인 패킹(Packing) : 실행파일을 압축하는 기술로 많은 악성코드 파일에 적용되어 있음 그 이유는 악성코드를 담고 있는 파일의 크기를 줄여 좀 더 빠르게 유포하고 악성코드 파일 디버깅을 하기 어렵게 만들기 위함 따라서, 패킹이 적용된 악성코드를 분석할 때에는 먼저 패킹을 해제하고 분석을 해 나가는 것이 바람직함 Exeinfo : PE파일 생성에 사용했던 패커나 컴파일러를 확인 할 ..

Virustotal무료 온라인 바이러스 검사 웹사이트로 각기 다른 60개~70여개의 안티바이러스 엔진들이 의심스러운 파일이나 URL 주소를 검사해 각각의 백신에서 어떠한 진단명으로 악성 코드로 진단을 하고 있는지 보여줍니다.또한, 악성 경유지로 활용이 되었던 이력들이 있는지 확인이 가능하여 국내외 보안 기업은 물론 대기업, 공공기관, 연구시설, 정부에서도 자주 사용하고 있습니다.FILE, URL, SEARCH  세가지 탭으로 구성되어 있습니다.바이러스 토탈 주소 : https://www.virustotal.com/gui/home/uploadFILE Tab1. Choose File 버튼을 클릭하여 파일을 지정하거나 직접 파일을 드래그 하여 업로드 할 수 있습니다. 2. 검사를 진행 후 악성코드가 검출되지 ..

보안관제 관제대상기관의 정보기술 및 다양한 IT자원을 해킹, 바이러스등과 같은 여러 사이버공격으로부터 보호하기 위해 실시간으로 모니터링을 수행하고 각종 보안이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무 → 실시간 모니터링과 탐지 및 대응을 통해 비밀성, 무결성, 가용성을 보호하기 위한 일련의 활동 보안관제 3가지 원칙 무중단의 원칙 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단없이 수행되어야 한다. ※ 모든 곳이 24시간 365일은 아님 전문성의 원칙 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에 관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 ..