배이빗의 공부 공간

Snort - 오픈소스 시그니처 기반 네트워크 침입탐지 시스템(IDS/IPS) - 프로토콜 분석, 콘텐츠 검색, 웜, 취약점 공격, 포트 스캔, 버퍼 오버플로우 등 다양한 공격을 탐지 - 네트워크 패킷을 수집(스니핑)해서 지정한 Rule과 동일한 패킷을 탐지한다. Snort 기능 1. Packet Sniffer Mode 패킷 스니퍼 모드 - 네트워크 패킷을 읽고 콘솔에 보여줄 수 있다. 2. Packet Logger Mode 패킷 로거 모드 - 패킷을 디스크에 기록한다. 3. NIDS (Network IDS) Mode / NIPS (Network IPS) Mode - 공격을 탐지하기 위한 패턴을 만들고 네트워크 트래픽 등이 탐지되는지 분석한다 Snort Rule 시그니처(Signiture) - 룰 헤더(..

※주의사항! : 샘플이여도 악성코드이기 때문에 반드시 가상환경에서 실행해야 한다. 1. MalwareBazaar (https://bazaar.abuse.ch/) 무료 악성샘플 사이트로 별도의 로그인이나 라이선스 없이 누구나 이용이 가능하다 [MalwareBazaar database] 누르면 악성샘플 목록을 조회할 수 있다 타입이나 태그 등 내가 원하는 설정으로도 조회가 가능하다 원하는 샘플을 찾은 후 맨 오른쪽에 있는 버튼을 클릭하여 다운로드한다 해당 악성 샘플의 해시값, 파일크기, 발견시기 등 자세한 정보를 알 수 있다. 다운로드하면 압축파일로 생성된다 2. VirusShare (https://virusshare.com/) VirusShare 사이트는 로그인이 필요하다 해당 메일에 권한 요청메시지를 보..

윈도우와 가상환경에서 공유폴더 만드는법 폴더생성-해당 폴더 속성- 고급 공유-권한-모든권한 허용 Virtual Machine Settings-Options--Always enabled-add VMware 환경 구성 고급 공유 설정 관리 - [파일 및 프린터 공유 켜기] 체크 - 변경 내용 저장 네트워크 드라이브 연결 - [동적분석도구] 폴더 클릭 - [로그온할 때 다시 연결] 체크 후 마침

가상 머신(Virtual Machine) - 물리적 하드웨어 시스템에 구축되어 자체 CPU, 메모리, 네트워크 인터페이스 및 스토리지를 갖추고 가상 컴퓨터 시스템으로 작동하는 가상 환경 - 호스트 운영체제와 분리되어 있기 때문에 악성코드 분석을 안전하게 할 수 있다. 스냅샷 - 세이브 포인트를 저장하여 사용자가 원할 때 언제든지 저장한 상태로 돌아갈 수 있다 - 데이터 백업이 가능하기 때문에 악성코드 동적 분석 시 유용하다. 스냅샷하는 법 VM-SnapShot-TakeSnapshot 클릭 이름과 설명을 적은 후 Take SnapShot을 눌러 저장 ex) 가상환경 구성했을 때로 돌아가고 싶을 때 가상환경 구성 클릭 - Go To 클릭 -> 가상환경 구성 상태로 복원, 단, 스냅샷을 복원하면 현재 진행중인..

동적 분석 - 악성코드 의심 파일을 직접 실행하여 실행 전후를 모니터링하며, 변화를 확인한다. 특징 - 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행하는 것을 권장 - 악성코드 행위의 특징과 규칙성, 놓친 부분 등을 알기 위해선 여러번 실행하여 확인하는 것이 중요하다 동적 분석 방법 1. 프로세스 모니터링 -악성코드를 실행시킨 뒤 프로세스의 변화를 살펴본다 -> 악성코드의 동작 추측 가능 2. 파일 모니터링 - 악성코드는 파일을 생성, 변조, 삭제 등 파일의 변화를 모니터링 하는 것이다. => 만약 모니터링을 통해 많은 파일이 변하는 것을 확인한다면 감염을 의심을 해봐야 한다. 3. 레지스트리 모니터링 - 악성코드는 윈도우 설정을 변경하여 원하는 동작을 수행한다. => 이러한 변경 정보를..

정적 분석이란? - 악성코드로 의심되는 파일을 실행하지 않고 파일 자체의(ex.소스코드) 속성을 분석하는 방식 - 동적분석에 비해 쉽고 빠르게 분석 가능 정적분석 방법 1. 파일 종류 판별 악성코드는 파일 종류를 감추기 위해 다른 확장자를 사용함. => 파일의 종류 별로 자신만의 고유한 시그니처를 가지고 있기 때문에 시그니처를 확인을 통해 파일의 종류를 파악할 수 있다. 2. 파일 구조 파악 exe, sys, dll 등의 확장자를 가진 파일들은 PE 파일 구조를 가지고 있음. => PE 구조 확인을 통해(코드에 관한 정보, 애플리케이션의 유형 등) 파일의 구조를 확인하여 악성코드 감염 여부를 확인해야 함. 3. 패킹(실행 파일 압축) 여부 확인 악성코드를 패킹한 뒤 배포한다 => 도구를 통해 언패킹하여 ..

VirusTotal 정의 - 악성코드 분석 시 활용하는 온라인 분석 사이트 - 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스 악성코드 분석 과정 대표적으로 기초 분석 - 정적 분석 - 동적 분석이다. 기초 분석 결과를 토대로 정적 분석과 동적 분석을 진행한다. 기초분석을 할 때 주로 VirusTotal을 이용한다 VirusTotal 특징 - 무료이며, 독립된 서비스이다. - 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다. - 바이러스 정의를 실시간으로 자동 업데이트를 한다. - 어떤 바이러스에 걸렸는지 알려준다. - 실시간으로 전세계적인 통계를 만들어 낸다. VirusTotal 사용법 VirusTotal..

보안관제 -다양한 IT자원을 해킹, 바이러스 등과 같은 사이버 공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행. -각종 보안 이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무 보안관제 3원칙 1. 무중단의 원칙 - 사이버 공격은 시간과 장소에 상관없이 수시로 발생하기 때문에 24시간 365일 중단 없이 수행해야 함. 2. 전문성의 원칙 - IT와 보안에 관련된 전문 지식과 경험, 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함 3. 정보 공유의 원칙 - 특정 공격행위를 막아도 타 기관에서 같은 공격으로 인한 피해가 발생할 수 있으므로 침해사고를 탐지 및 차단하기위해 정보가 공유되어야 한다. -> 관계 법령에 위배되지 않는 범위에서..

악성코드란? - 의도적으로 사용자에게 피해를 주고자 만든 악의적인 프로그램 목적 - 기밀자료 탈취, 개인정보 수집, 신분 절도, 금전적 요구, 공고 노출 및 홍보 등 악성코드 유형 1. 바이러스 ( Virus ) - 다양한 감염경로(다운로드, 네트워크의 공유 폴더 이메일 등)로 컴퓨터에 침입하여 실행 가능한 파일이나 문서 파일 내에 복제되어 기생 - 감염된 파일의 실행이나 오픈 시 -> 바이러스가 활동하여 컴퓨터에 악의적인 피해를 입혀 다른 파일을 못쓰게 만들거나 다른 파일을 복제하여 감염시킴 특징 - 자기와 동일한 것을 복제하여 증식 - 스스로 복제x 예방 - 백신 소프트웨어를 활성화하고 주기적으로 업데이트 - 윈도우 보안 업데이트 - 정품 소프트웨어 사용 - 확실하지 않고 의심가는 이메일 또는 사이트..

정탐 vs 오탐 vs 미탐 보고 (정상 패킷) 보고안함 (비정상 패킷) 오류 (정상 탐지) True Positive (긍정적 사실 - 정탐) False Negatvie(부정적 오류 - 미탐) 오류 아님 (비정상 탐지) False Positive(긍정적 오류 - 오탐) True Negatvie(부정적 사실 - 정탐) 1. 정탐 : 정상적인 탐지 - True Positive (TP) 긍정적 사실 - True Negative (TN) 부정적 사실 - 긍정적 혹은 부정적 둘 다 사실대로 탐지했기 때문에 정탐이다. ex) 일반 메일이 일반 메일함으로 들어오는 것 -> 긍정적 사실 (TP) 스팸 메일이 스팸 메일함으로 가는 것 -> 부정적인 사실 (TN) => TP와 TN 둘 다 일반메일과 스팸 메일을 잘 구분 했..