기초분석 (1) VirusTotal [악성코드확인] ​ 해당 파일은 Trojan이 많이 보이는 것을 통해 트로이목마 성격을 가지고 있는 악성코드일 확률이 높을 것 같고 Win32 를 통해 윈도우 환경에서 실행 되어지는 실행 파일 이겠구나라고 확인을 할 수 있었습니다. ​ Basic Properties을 통해 해시값과 Win32 EXE 실행 파일이라는 정보를 볼 수 있고 패킹되어있는지에 대한 여부를 볼 수 있습니다. 이를 통해 알 수 있는 사실은 해당 파일이 패킹이 되어 있지만 한 번 패킹이 아닌 여러번 패킹되어 있을 가능성이 높아 보인다는 것입니다. 그 외에도 관련 URL ,Domain , IP Addresses 등을 확인 할 수 있습니다. ​ 정적분석 (1) Exeinfo PE [패킹 여부 확인] ​ ..

Snort IDS 설치 및 설정 과정 Snort & Pcap 라이브러리 설치 XAMPP ( Apache Web Server, MySQL, PHP ) 설치 Base 설치 Adodb5 설치 프로그램 설정 위 순서로 Snort IDS 설치 및 설정을 진행하겠습니다. 1. Snort 설치 및 Pcap 라이브러리 설치 우선 Snort 를 설치하기 앞서 실제 네트워크로 전송되는 패킷을 탐지하기 위해 Pcap 라이브러리가 필요합니다. Windows 환경에 설치를 하는 것이기 때문에 Winpcap 을 설치를 진행하였습니다. https://www.winpcap.org/ WinPcap - Home For many years, WinPcap has been recognized as the industry-standard t..

Snort 란 ? Snort 는 1998년 Martin Roesch에 의해 개발된 오픈 소스 기반 IDPS ( Intrusion Detection Prevention System ) 입니다. 시그니처 기반 탐지 시스템으로서 패턴과 매칭이 될 경우 탐지되는 방식을 사용하는 시스템입니다. 현재까지도 침입 탐지 시스템 ( IDS ) 중 가장 널리 사용되고 있는 시스템입니다. Snort 의 기능 Snort 는 아래 작성된 3가지 기능을 수행합니다. Sniffer : 네트워크 트래픽을 캡쳐하는 기능 Packet Logger : 나중에 분석할 수 있도록 네트워크 트래픽을 파일에 기록하는 기능 IDS / IPS : 네트워크 트래픽을 분석 후 침입 탐지 및 차단 기능 Snort 동작 구조 Snort 의 동작 구조는 S..

샘플 파일 분석할 파일인 bton02setup.exe 파일 에 보이는 파일을 Virustotal 과 여러 분석 툴들을 활용해 분석을 하였습니다. 해당 파일은 악성파일이며, 분석 진행은 이전에 구축해둔 가상환경 Windows 7 Professional 64bit 에서 진행 하였습니다. 기초 분석 Virustotal 스캔 결과 해당 파일의 기본적인 정보를 얻기위해 Virustotal 로 해당 파일을 스캔하였습니다. 71개 엔진 중 51개 엔진이 해당 파일을 악성 파일로 진단하였습니다. 진단명을 살펴보면 PUP, Adware, Trojan, Downloader, Win32 로 진단을 많이 한 것을 확인 했을 때 해당 파일은 Adware, Downloader, Trojan 형태의 악성 코드로 보여집니다. Win..

샘플 파일 분석 할 파일 dgrep.exe 위 사진은 이번에 분석할 파일입니다. 분석 환경은 Vmware Workstation 17 Pro, Windows 7 Professional K 64bit 운영체제에서 분석을 진행하였습니다. 기초 분석 Dgrep.exe 파일을 Virustotal에서 스캔한 모습 결과를 보면 71개 엔진 중 66 개 엔진이 해당 파일을 악성 파일로 진단한 것을 확인할 수 있다. 조금 더 자세히 각각의 진단명을 살펴보면 Backdoor, Trojan, Win32, Packed, Downloader 라는 진단명이 보이는 것을 확인할 수 있습니다. 위 진단명들을 종합해서 본다면 해당 파일은 Backdoor, Trojan, Downloader 계열 악성코드일 가능성이 높고, 패킹 처리가 ..

Vmware 가상환경 생성과 Window os 설치 Vmware workstation pro 17을 설치하고 실행합니다. Vmware 설치 후, 홈에서 creat a new virtual machin을 클릭합니다. tipical과 custom 버튼이 나오는데, custom은 사용자 지정 모드로 하나하나 설정해줘야 하기 때문에 저는 그보다 쉽게 구성 가능한 typical을 선택했습니다. 게스트 운영체제 설치방법으로, 두 번째 disc image file 버튼을 클릭하여 윈도우 7이 있는 경로를 입력해 해당 iso파일을 삽입하여 진행했습니다. 윈도우 제품 키를 넣는 창은 next를 눌러 넘어갔습니다. 가상머신의 이름과 저장할 경로를 정해주는 창입니다. 저는 c드라이브에 여유 공간이 충분하지 않아 d드라이브로..