실습환경: 악성코드 파일과 정상 파일이 같이 있는 디렉토리에서 악성 여부 판별하기 서명정보 분석Sysinternals Suites의 sigcheck 툴을 사용해서 실행파일이 있는 폴더를 스캔해 보자→ C:\lab\PE-COFF\> sigcheck  'sigcheck' 명령어를 실행하니 디렉토리 내에 파일들의 sign 정보가 나온다악성코드들은 unsigned라고 나오고 정상파일은 signed인 것이 확인  엔트리포인트 분석 StudPE 툴을 이용해서 악성파일을 열람한다→ 정상파일은 엔트리포인트가 .text .code인 반면에→ 악성코드는 엔트리포인트가 다른 곳일 것이다  Stud_PE로 계산기 프로그램을 덤프해보니 .text 섹션에 EP(엔트리포인트)가 보임→ 정상적인 프로그램이다  반면 다음 실행프로그램..

이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.   스피어피싱: 특정 조직이나 개인을 대상으로 하는 피싱 공격으로, 악성 문서·링크 첨부하는 방식피해자는 신뢰할 만한 출처에서 온 메일이라고 믿고 악성 파일을 열게 된다 스피어 피싱 메일 첨부 파일의 종류- MS office - PDF - HWP - RTF - ZIP 등 압축 파일을 열람하면 내장된 악성 객체(쉘코드, 스크립트, exploit, 실행파일)가 실행된다  악성문서파일의 구성요소  1. Exploit: 문서 파일을 처리하는 sw(ms office, pdf reader)의 비정상 동작을 유발하고 임의 코드를 강제실행하는 문서 내 데이터→ 의도치 않은 동..

이전 실습과 겹치는 내용이 많아 복습개념으로 하는 실습  dlllist.txt: 메모리에 로드된 exe파일과 dll 파일의 경로정보 포함C:\Windows, C:\Program Files, systemroot 이외의 일반적이지 않은 경로 찾는 게 도움 됨> grep -i "commanad line" dlllist.txt | grep -v -i "c:\\windows" | grep -v -i "c:\\program files"| grep -v -i "systemroot" C:\Windows\system32는 기본적으로 환경변수에 절대 경로가 등록되어 있어 wininit.exe, winlogon.exe, taskhost.exe의 절대경로가 표시되지 않음C:\Users\admin\AppData\Local\Te..

이전 실습 요약:  이전 실습에서는 침해사고 발생한 아티팩트, 메모리 덤프파일(memory.raw)을 수집했음. 여기서 프로세스 관련 정보들(ex 생성시간, 종료시간, PID, DLL 등)을 추출했음  → 이번 실습에서는 추출내용을 분석하겠음1. dlllist.txt 분석하기 : 메모리의 로드된 실행파일 자체와 dll 파일의 경로정보 파일 내용 중 command line 을 추출하면 실행파일 경로, 파라미터 정보를 추출할 수 있음-i: 대소문자 구분 X-v: 문자열 제외 대부분의 일반적 프로세스 경로는  C:\Windows C:\Programs FilesC:\Programs Files (x86)에서 실행되므로 이외의 경로를 찾으면 된다 E:~W) grep -i "command line" dlllist.t..

이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.프로세스의 이상징후 분석을 위한 정보추출 과정 메모리의 덤프 파일의 프로필 정보 확인프로세스 목록 추출프로세스 트리 정보 추출로드된 DLL 목록 및 경로 정보 추출프로세스 이미지 덤프 및 버전 정보 추출위와 같은 과정을 거쳐서 침해사고 발생한 기기에서 아티팩트를 추출하고 → csv, txt처럼 알아볼 수 있는 형태로 만들어야 함→위의 과정들은 자동화되어 있기 때문에 트리 정보 추출 이후가 더 중요 실습도구: Volatility 메모리 포렌식 툴환경: 피해가 발생한 라이브시스템, 자동화로 아티팩트는 이미 수집 완료 1. 메모리 덤프 파일 프로필 정보 확인 이미 자동..

이 포스팅은 KISA 아카데미(실전형 사이버훈련장)에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다. 윈도우 단말에 대한 악성코드 유입 경로/징후 식별 웹 페이지에 방문한 브라우저 공격으로 인한 유입악성 문서를 통한 유입외장 매체를 통한 유입로컬 네트워크의 다른 단말을 통한 유입 사후 분석 관점의 윈도우 단말 이상징후 식별 범위프로세스의 이상징후 식별: 경로/이름 분석, 프로세스의 혈통/파라미터/이미지 버전정보 분석Ex) svchost.exe의 경우 C:\Window\explorer.exe 경로여야 하는데 C:\Window\system32\explorer.exe 이면 이상징후라고 볼 수 있음+ svchost.exe의 부모 프로세스가 services.exe가 아닌 ..