본문 바로가기

정보보안

 (8)
[PE파일 분석 실습] 악성 데이터를 리소스섹션에 임베드한 MW분 개요- 리소스 세션에 임베드된 악성코드를 이용하기 위해서는,FindResourceW, SizeofResource, LoadResource, LockResource 함수가 주로 쓰인다. - 샘플파일은, FindResourceW함수를 사용하여, BINARY_INJECTOR 리소스에 mscredw32.exe 파일을 생성한다. - 생성된 mscredw32.exe의 경우, C:\Users\user\AppData\Roaming\Microsoft\Credentials 경로에 cred.dll 파일을 생성하여 악성행위를 진행할 것으로 예상함. 샘플파일 : b7d39a1c904445e44c1a2092ae7eac6341 정적분석 => IDA1.1 텍스트뷰, Imports 텝에서 현재 임포트된 API목록 확인v..
윈11에서 VMWare vcpu-0 에러 악성코드 분석을 위한 첫단계, VMWare 설치후 가상머신을 실행하기까지 큰 고비를 겪었다.. 설치 버전은 VMware16 버전에, 로컬 환경은 다음과 같다.os : win11 procpu : i5-12800k vmware 설치는 무난했으나,, win7x32 및 win10x32 ios 를 임포트하고, 머신을 power on 하면,, vcpu-0 에러가 발생하며 바로 종료되던가, 부팅까지 됐으나, 스냅샷을 찍으면 동일한 에러가 뜨며 종료되는 현상. 인터넷에 검색된 에러 해결방법은 모두 시도하였지만 해결되지 않았고, 3일 고생끝에 새로운 방법을 발견하였다. 시도했던 방법들을 나열하면 다음과 같다. 1. 하이퍼바이져 관련 모두 off ㄴ vmware와 충돌문제로 off시켜 준다2. 메모리무결성 off ..
[PE파일 분석 실습] 프로세스 인젝션을 수행하는 MW 분석 개요- 프로세스 인젝션을 진행하기 위해서는, OpenProcess, WriteProcessMemory, VirtualAllocEx, CreateRemoteThread 함수가 주로 사용된다. - 실습할 샘플파일은, OpenProcess 함수를 사용하여, 현재 PC에서 동작중인 explore.exe의 PID를 찾아 핸들값을 얻는다. - C:/Windows/system32에 위치할 것으로 예상되는 rdshost.dll 의 dll 파일명을 WriteProcessMemory 함수를 이용해 삽입한다. 1 파일 구조 확인 => PEview 샘플파일 : 6c070365264b23bd21c90b34e05e8a0 파일의 구조를 확인하기 위해 PEview를 사용해 파일을 열고, 아래와 같은 지표들을 확인한다...
악성코드(Malware) 주요 행위 분석 및 개념 악성코드 분석을 하기 위해, 악성코드의 주요행위와 윈도우의 관련 개념을 살펴 본다. 악성코드 주요 행위 목록 악성코드는 다양한 목적과 방식으로 동작하지만, 일반적으로 다음과 같은 주요 행위들을 공통적으로 나타낸다. 따라서 악성코드 분석시, 주의깊게 살펴보게되는 대표적인 행위목록은 다음과 같다. 분류주요 행위설명1. 권한 상승 및 은닉루트킷 설치시스템의 핵심 영역을 은폐하여 탐지 회피*루트킷 : Root (최고 권한) + Kit (도구 모음)→ 시스템의 루트 권한을 탈취하거나 유지, 그리고 자신 또는 다른 악성코드의 존재를 은폐하기 위한 도구 세트UAC 우회사용자 계정 컨트롤 우회로 관리자 권한 획득보안 솔루션 무력화백신, EDR, 방화벽 등의 종료 또는 우회정상 프로세스 위장예: svchost.exe..
PE 파일 분석 개요 PE 파일이란?1. 단어적 의미 Portable Executable File Format  - Portable : 이동, 이식 가능한 - Executable : 실행가능한 => 이동 가능하게 설계되어 있으며 실행할 수 있는 파일의 구조.* 하지만 PE 파일은 Windows에서만 동작하므로 완전한 의미의 "이동 가능"은 아님 2. 위키피디아 참조 Windows에서 실행할 수 있는 파일의 형식을 정의한 구조.즉, Windows 실행 파일(.exe, .dll, .sys 등)의 표준 파일 포맷을 의미윈도우 버전이 바뀌더라도 실행가능하도록 한 바이너리 파일 구조. +윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보들을 캡슐화한 데이터 구조체+링킹을 위한 동적라이브러리 참조, API 익스포트, 임포트 테이블..
악성코드 유형 악성코드란?악성코드는 시스템, 네트워크 또는 데이터를 손상시키거나 무단으로 접근하려는 목적으로 설계된 프로그램이나 파일입니다. 다양한 종류의 악성코드가 존재하며, 각기 다른 방식으로 피해를 줍니다.   Avast 에서 제공하는 기업이 직면한 악성코드 유형 8Avast는 다양한 악성코드 유형에 대응하는 보안 솔루션을 제공하고 있습니다. 특히, Avast의 안티바이러스 엔진은 바이러스뿐만 아니라 스파이웨어, 트로이 목마 등 다양한 종류의 악성코드를 자동으로 검사합니다. *Avast 에서 기업이 직면한 악성코드 유형 8가지 정리 및 예방법 소개종류설명특징 요약예방 방법1 바이러스다른 프로그램이나 파일에 자신을 삽입하여, 실행될 때마다 다른 파일이나 프로그램을 감염시키는 악성코드. 컴퓨터 시스템에서 복제되어 확..
가상머신 및 응용프로그램 설치 악성코드 분석 실습을 위한 환경구축 내용입니다.  1. 버추얼박스 설치 및 세팅2. 윈도우 OS 설치 및 세팅3. 분석에 필요한 각종 응용프로그램 설치 작업 순서작업 내용비고1. 버추얼박스 설치 및 세팅*버추얼박스 설치 가상머신을 실행할 수 있는 플랫폼 중, 학습을 위해 무료로 사용할 수 있는 오픈소스 기반인 버추얼박스를 선택 *환경설정 1. 키보드 입력 2. 네트워크 설정 : 호스트의 IP주소를 통해 인터넷을 연결하며, 가상머신간의 인터넷 연결을 위해, NAT --> NATNetwork 로 네트워크 타입 설정.*버추얼박스 설치링크 :https://www.virtualbox.org/* NAT (Network Address Translation) - 가상머신이 외부 네트워크에 접근할 수 있도록 해주는 방식..
가상머신이란? 가상머신(Virtual Machine, VM)이란?가상머신(VM, Virtual Machine)은 물리적인 컴퓨터(호스트) 위에서 소프트웨어적으로 구동되는 독립적인 운영체제 환경입니다. 즉, 하나의 실제 컴퓨터에서 여러 개의 운영체제(OS)를 동시에 실행할 수 있도록 해주는 기술입니다.1. 가상머신의 핵심 개념✅ 호스트(Host): 가상머신을 실행하는 실제 컴퓨터✅ 게스트(Guest): 가상머신에서 실행되는 운영체제✅ 하이퍼바이저(Hypervisor): 가상머신을 관리하고 실행하는 소프트웨어✅ 가상화(Virtualization): 하드웨어 자원을 가상머신에서 사용할 수 있도록 하는 기술2. 가상머신의 주요 특징🔹 독립적인 환경 제공 → 한 시스템에서 여러 운영체제 실행 가능🔹 격리된 실행 공간 → 한..

티스토리툴바