이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.   스피어피싱: 특정 조직이나 개인을 대상으로 하는 피싱 공격으로, 악성 문서·링크 첨부하는 방식피해자는 신뢰할 만한 출처에서 온 메일이라고 믿고 악성 파일을 열게 된다 스피어 피싱 메일 첨부 파일의 종류- MS office - PDF - HWP - RTF - ZIP 등 압축 파일을 열람하면 내장된 악성 객체(쉘코드, 스크립트, exploit, 실행파일)가 실행된다  악성문서파일의 구성요소  1. Exploit: 문서 파일을 처리하는 sw(ms office, pdf reader)의 비정상 동작을 유발하고 임의 코드를 강제실행하는 문서 내 데이터→ 의도치 않은 동..

드림핵 시스템해킹/리버스 엔지니어링 공부하면서 요약함1000101과 같은 기계어는 사람이 읽고 이해하기 매우 어려운 반면에어셈블리어는 비교적 사람이 이해할 수 있으면서도 기계어와 치환되기 때문에 꼭 필요함! 어셈블리어 문법 mov eax, 3 mov는 대입을 뜻하는 명령어, eax와 3은 피연산자 Operand로eax에 3을 대입하라는 뜻이다 피연산자에는 상수, 레지스터, 메모리 3가지가 가능하다메모리 피연산자는 BYTE 1바이트, WORD 바이트, DWORD 4바이트, QWORD 8바이트로 나뉨 어셈블리어 주요 명령어명령어기능MOV, LEA데이터 전송, 이동ADD, SUB덧셈, 뺄셈CMP두 값을 비교하고 플래그 설정JMP, JE, JNE무조건 점프, 조건부 점프PUSH, POP스택에 데이터 푸시 및 ..

이전 실습과 겹치는 내용이 많아 복습개념으로 하는 실습  dlllist.txt: 메모리에 로드된 exe파일과 dll 파일의 경로정보 포함C:\Windows, C:\Program Files, systemroot 이외의 일반적이지 않은 경로 찾는 게 도움 됨> grep -i "commanad line" dlllist.txt | grep -v -i "c:\\windows" | grep -v -i "c:\\program files"| grep -v -i "systemroot" C:\Windows\system32는 기본적으로 환경변수에 절대 경로가 등록되어 있어 wininit.exe, winlogon.exe, taskhost.exe의 절대경로가 표시되지 않음C:\Users\admin\AppData\Local\Te..

해당 포스팅은 securityteamblue에서 제공되는 introduction to Vulnerability Management를 공부하며 정리한 내용입니다  Vulnerability Management는 보안 결함, 취약점을 식별해서 수정하고사이버공격의 위험, 영향을 줄이는 프로세스이다. 조직에 피해를 줄 수 있는잠재적인 보안 결함의 수를 뜻하는 Attack Surface를 줄이기 위해 작동함 Vulnerability Management 단계 Identification: 취약점 스캐너 등의 방법으로 여러 기기에서 보안 문제를 찾아내 점수(ex.CVSS)와 함께 기록Reporting: 시스템 소유자나 이해관계자에게 보고해야 함Remediation: 보안 결함을 해결하기 위해 보안 패치 등 방법으로 조치..

이전 실습 요약:  이전 실습에서는 침해사고 발생한 아티팩트, 메모리 덤프파일(memory.raw)을 수집했음. 여기서 프로세스 관련 정보들(ex 생성시간, 종료시간, PID, DLL 등)을 추출했음  → 이번 실습에서는 추출내용을 분석하겠음1. dlllist.txt 분석하기 : 메모리의 로드된 실행파일 자체와 dll 파일의 경로정보 파일 내용 중 command line 을 추출하면 실행파일 경로, 파라미터 정보를 추출할 수 있음-i: 대소문자 구분 X-v: 문자열 제외 대부분의 일반적 프로세스 경로는  C:\Windows C:\Programs FilesC:\Programs Files (x86)에서 실행되므로 이외의 경로를 찾으면 된다 E:~W) grep -i "command line" dlllist.t..

이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.프로세스의 이상징후 분석을 위한 정보추출 과정 메모리의 덤프 파일의 프로필 정보 확인프로세스 목록 추출프로세스 트리 정보 추출로드된 DLL 목록 및 경로 정보 추출프로세스 이미지 덤프 및 버전 정보 추출위와 같은 과정을 거쳐서 침해사고 발생한 기기에서 아티팩트를 추출하고 → csv, txt처럼 알아볼 수 있는 형태로 만들어야 함→위의 과정들은 자동화되어 있기 때문에 트리 정보 추출 이후가 더 중요 실습도구: Volatility 메모리 포렌식 툴환경: 피해가 발생한 라이브시스템, 자동화로 아티팩트는 이미 수집 완료 1. 메모리 덤프 파일 프로필 정보 확인 이미 자동..