실습환경: 악성코드 파일과 정상 파일이 같이 있는 디렉토리에서 악성 여부 판별하기 서명정보 분석Sysinternals Suites의 sigcheck 툴을 사용해서 실행파일이 있는 폴더를 스캔해 보자→ C:\lab\PE-COFF\> sigcheck  'sigcheck' 명령어를 실행하니 디렉토리 내에 파일들의 sign 정보가 나온다악성코드들은 unsigned라고 나오고 정상파일은 signed인 것이 확인  엔트리포인트 분석 StudPE 툴을 이용해서 악성파일을 열람한다→ 정상파일은 엔트리포인트가 .text .code인 반면에→ 악성코드는 엔트리포인트가 다른 곳일 것이다  Stud_PE로 계산기 프로그램을 덤프해보니 .text 섹션에 EP(엔트리포인트)가 보임→ 정상적인 프로그램이다  반면 다음 실행프로그램..

침해사고 대응 단계에서 피해 시스템 내에 정상적인 파일/비정상 징후 파일을 식별해야분석과 후속 대처 단계로 넘어갈 수 있다실행파일 PE 파일의 악성여부를 판별하는 방법을 알아보자 섹션의 엔트로피 분석 파일 엔트로피: 악성코드 여부 식별 역할→ 악성 파일의 경우 노출되지 않기 위해 인코딩, 암호화를 거쳐 엔트로피가 높다→ 엔트로피 값을 계산해보면 0~8에서 7 이상인 경우도구는 PEScanner, PE studio  엔트리 포인트 분석 EXE파일을 실행하면 로더가 EXE파일과 추가적인 DLL 파일들을 링킹 해주고, 일을 마치면 실행파일 내에서 가장 먼저 실행되어야 하는 곳(엔트리포인트)으로 흐름을 바꾼다 → 주로 .text, .code → 다른 곳에 속하면 악성코드 가능성 O 엔트리 포인트는 실행파일의 헤..

이론악성 MS Office 문서 분석 절차 1. 악성 MS Office 문서 파일 트리아지(분류)- MS Office 파일 내에서 VBA 코드, DDE/DDEAUTO 명령어, 쉘 코드, OLE 객체 포함 여부를 확인2. 악성 스크립트/명령어 확보- 파일 내에 있는 VBA 코드 혹은 스크립트 위치를 파악하여 분석을 위해 추출- 난독화 되어 있을 경우, 난독화를 해제하여 분석이 용이하도록 조치3. 악성 개체 분석- 시스템 상에 생성하거나 실행하는 파일, 추가로 다운로드 하는 파일, 악성코드 배포 서버의 도메인 등을 확인- 코드 분석 과정에서 추가로 식별된 VBA 스크립트, PowerShell 스크립트, 실행 파일, 쉘 코드를 분석- 악성코드 배포 서버로부터 다운로드 되는 데이터가 확보 가능할 경우, 추가로 ..

ls 명령어와 file * 명령어로 디렉토리 내의 내용과 파일 종류를 확인할 수 있다→ 바이너리 구조인 CFBF, Zip 압축 형태인 OOXML 둘다 존재함이 확인됨 다음은 oledump.py 을 사용해서 CFBF 파일을 파싱해보자oledump.py malicious-1012a43.doc  출력 결과를 보면7: M 12289 'Macros/VBA/ThisDocument' 이런식으로 나오는데 여기에 M은 매크로를 의미한다 다음은 ooxml 파일을 파싱해보자 oledump.py malicious-d142f4eb.docx zip 형태인 OOXML 파일을 파싱하니 에러가 발생한다확장자를 zip으로 변경하고 압축해제를 하면 된다 cp malicious-d142f4eb.docx malicious-d142f4eb.z..

MS Office 문서의 두 가지 포맷CFBF(복합 파일 이진 형식 Compound File Binary Format): 여러 파일과 디렉토리를 하나의 파일에 저장하는 마이크로소프트의 파일형식이고섹터와 클러스터로 이루어져 있는 FATR 구조와 유사함 OOXML(Office Open XML): ZIP 형태로 압축된 xml 기반의 파일 포맷, CFBF의 문제(구조 복잡성, 호환문제)를 해결함메타 정보를 담고있는 XML 파일과 다양한 바이너리 파일이 압축된 형태  CFBFOOXML형식BinaryXML 기반구조FAT 파일 시스템과 유사메타정보를 담은 XML 파일 + 바이너리 파일 압축된 포맷확장자DOX, PPT, HWPDOCX, PPTX, HWPX CFBF 파일의 포맷: root directory와 하위 dir..

이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.   스피어피싱: 특정 조직이나 개인을 대상으로 하는 피싱 공격으로, 악성 문서·링크 첨부하는 방식피해자는 신뢰할 만한 출처에서 온 메일이라고 믿고 악성 파일을 열게 된다 스피어 피싱 메일 첨부 파일의 종류- MS office - PDF - HWP - RTF - ZIP 등 압축 파일을 열람하면 내장된 악성 객체(쉘코드, 스크립트, exploit, 실행파일)가 실행된다  악성문서파일의 구성요소  1. Exploit: 문서 파일을 처리하는 sw(ms office, pdf reader)의 비정상 동작을 유발하고 임의 코드를 강제실행하는 문서 내 데이터→ 의도치 않은 동..