0x00 /0x02 Malware 썸네일형 리스트형 - 3월 11일 주의 파일 안내입니다. (출처:바이러스제로시즌2) # 바이러스 제로 시즌2 카페에서 퍼온 3월 11일 주의 파일 안내입니다. 참고하시면 좋을 것 같아서 퍼왔습니다. 출처 URL http://cafe.naver.com/malzero/107968 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-3] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. # 실습 1-3 Lab01-03.exe 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? [ 그림 1 ] VirustToTal 진단 결과- 안티바이러스 제품 57개중 43개에서 이미 분석되었던것으로 확인할 수 있었습니다. # 질문 (2)- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자. [ 그림 2 ] 패킹 유무 확인 도구를 이용한 패킹 확인- FSG 1.0 패커에 의해 패킹되어 있다는 것을 확인할 수 있었으며, FSG가 'Fast Small.. 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-2] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. 해당 실습 파일들은 http://practicalmalwareanalysis.com/labs/ 에서 제공되고 있습니다. # 실습 1-2 Lab01-02.exe 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의된 것과 일치하는가? [ 그림 1 ] VirustToTal 진단 결과- 기존 안티바이러스 29개에서 분석이되어 진단된 것을 확인할 수 있었습니다. # 질문 (2)- 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자. [ 그림 2 ] Lab01-02.exe 패킹 .. 더보기 - 실전 악성코드와 멀웨어 분석 Chap.1 [실습 1-1] # 실전 악성코드와 멀웨어 분석에서 제공하는 실습 파일을 이용한 악성코드 분석 연습. 해당 실습 파일들은 http://practicalmalwareanalysis.com/labs/ 에서 제공되고 있습니다. # 실습 1-1 Lab01-01.exe / Lab01-01.dll 파일 분석 # 질문 (1)- Http://www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가? [ 그림 1 ] Lab01-01.exe VirusTotal 분석- 해당 파일이 최초로 2012-02-16 에 이미 분석됬다는 것을 확인할 수 있었다. [ 그림 2 ] Lab01-01.exe VirusTotal 분석 결과- 기존 안티바이러스 시그니처 존재하는 파일이였으며.. 더보기 - 악성코드 (MaxRootkit_2011_1.exe) 분석 - 미완. # Malware File Name : MaxRootkit_2011_1.ex # 분석환경- Windows XP SP3 x86- Ubuntu x64 1. 초기분석 1.1 안티바이러스 스캐닝 ( VirusToTal) [ 그림 1 ] MaxRootkit_2011_1.ex Virustotal 안티바이러스 스캐닝 결과 (진단 결과)- Trojan / Rootkit / Downloader 등으로 진단- 위와 같은 내용을 통해서, 루트권한을 획득한 공격자가 피해자의 PC에 악성코드를 은폐시키고, 추가적인 악성코드를 다운받는 식의 행위가 예상된다. [ 그림 2 ] MaxRootkit_2011_1.ex Virustotal 안티바이러스 스캐닝 결과 - File detail 정보- import DLL (ADVAPI32.dl.. 더보기 - 악성코드 분석 환경 구축 (VMware) # 쉬운 악성코드부터 차근 차근 악성코드 분석 연습을 해보려고, 악성코드 분석 환경을 구축해보았습니다. # 가상머신 소프트웨어 : Vmware 11 # Guest PC OS - Ubuntu 13.10 x64 : 아래 3개의 PC에서 악성코드를 실행시켰을 시, 발생하는 네트워크 트래픽을 모니터링하는 역할 - Windows 7 professional k x86- Windows 7 Ultimate k x64- Windows XP SP3 x86 : 실제로 악성코드를 실행 시킬 Guest PC - 총 4개의 Guest OS (NAT 방식으로 네트워크 설정) / Ubuntu OS의 IP 주소를 기본 게이트웨이 주소로 설정해주어서, 트래픽을 모니터링할 Ubuntu OS를 거쳐 인터넷이 가능하도록 설정하였습니다. - .. 더보기 - 악성코드의 유형 * 백도어 (backdoor)- 공격자의 접근을 허용할 목적으로 컴퓨터에 자기 자신을 설치하는 악성코드다. 백도어는 공격자가 부분인증이나 무인증으로 컴퓨터에 접속해 로컬 시스템에서 명령어를 실행할 수 있게 된다. * 봇넷 (botnet)- 공격자가 시스템에 접속할 수 있다는 점에서 백도어와 유사하지만, 동일한 봇넷에 감염된 모든 컴퓨터가 하나의 명령 제어(C&C) 서버로부터 동일한 명령어를 수신한다. * 다운로더 (downloader)- 다른 악성 코드를 다운로드할 목적만으로 존재하는 악성 코드로, 흔히 시스템에 처음으로 접근 권한을 얻으면 공격자는 다운로더를 설치한다. 다운로더 프로그램은 추가 악성코드를 다운로드하고 설치한다. * 정보 유출 악성코드 (information-stealing malware.. 더보기 이전 1 다음
