작은 메모장

Yara Rule - Icon Group IOC 획득 실습 본문

KISA 사이버 보안 훈련/YARA 정규표현식 활용

Yara Rule - Icon Group IOC 획득 실습

으앙내눈 2023. 6. 26. 23:36

조건이 꽤 까다로운 문제

사용할 IOC 정보를 잘 골라야 해결할 수 있는 문제

첫번째로, 탐지대상과 미포함대상의 특징부터 확인

  탐지 대상 미포함 대상
파일 명 64자리 대문자 16진수 64자리 대문자 16진수
파일 사이즈 118KB ~ 562KB 1KB ~ 284KB
유형 응용 프로그램 응용 프로그램

위 표는 각 대상 파일들의 특징을 정리한 것

두 대상은 육안으로 파악할 수 있는 정보로는 겹치는 정보가 많음

IOC로 넣기에 부적합

 

CFF Explorer로 탐지 대상 파일의 IOC 후보를 추출

여러 파일을 조사한 결과, File Type, File Info, InternalName이 대다수 겹치는 것을 확인

이를 IOC로 지정

 

첫 번째 IOC인 Portable Executable 32를 탐지하기 위해 32bit 확인 명령어 사용

미포함 대상 파일도 탐지됨

IOC로 부적합

 

두 번째 IOC인 InternalName을 탐지하기 위해 Rule 작성

200개가 나와야하는데 탐지된건 94개

다른 패턴을 더 찾아야 IOC로 사용 가능

 

세 번째 IOC인 유사한 프로그램 파일임을 탐지하기 위해 imphash()함수로 비교

imphash값이 중구난방으로 있어 IOC 정보로 부적합

 

타겟 그룹을 자세히 살펴보면, 아이콘이 서로 다른것을 확인 가능

깨진 아이콘도 존재하고, 깨지지 않은 아이콘도 존재

이를 이용하여 IOC로 사용할 가능성 있음

CFF Explorer로 살펴보면, 리소스 영역에 해당 아이콘 데이터가 들어있음

깨진 아이콘도 존재하고, 깨지지 않고 노이즈도 없는 아이콘도 존재함

이중, 가장 작고 가장 노이즈가 없은 아이콘을 기준으로 깨진 아이콘 파일과 깨지지 않은 아이콘 파일을 비교

아이콘의 정보를 비교한 결과, 정보가 같지 않음

정보가 같지 않으니, 이 정보는 IOC로 활용이 불가능

그러나, IconGroups를 이용하면 가능함

정상 파일이 사용하는 아이콘 그룹과 비정상 파일이 사용하는 아이콘 그룹을 합하면 IOC 정보로 활용 가능

IconGroups 카테고리 내 파일 내용을 Hex 형태로 복사

이를 깨진 파일, 정상 파일 IconGroup값에 각각 추가

정확하게 탐지 대상 200개만을 탐지한 것을 확인 가능