작은 메모장
Yara Rule - Icon Group IOC 획득 실습 본문
조건이 꽤 까다로운 문제
사용할 IOC 정보를 잘 골라야 해결할 수 있는 문제
첫번째로, 탐지대상과 미포함대상의 특징부터 확인
탐지 대상 | 미포함 대상 | |
파일 명 | 64자리 대문자 16진수 | 64자리 대문자 16진수 |
파일 사이즈 | 118KB ~ 562KB | 1KB ~ 284KB |
유형 | 응용 프로그램 | 응용 프로그램 |
위 표는 각 대상 파일들의 특징을 정리한 것
두 대상은 육안으로 파악할 수 있는 정보로는 겹치는 정보가 많음
IOC로 넣기에 부적합
CFF Explorer로 탐지 대상 파일의 IOC 후보를 추출
여러 파일을 조사한 결과, File Type, File Info, InternalName이 대다수 겹치는 것을 확인
이를 IOC로 지정
첫 번째 IOC인 Portable Executable 32를 탐지하기 위해 32bit 확인 명령어 사용
미포함 대상 파일도 탐지됨
IOC로 부적합
두 번째 IOC인 InternalName을 탐지하기 위해 Rule 작성
200개가 나와야하는데 탐지된건 94개
다른 패턴을 더 찾아야 IOC로 사용 가능
세 번째 IOC인 유사한 프로그램 파일임을 탐지하기 위해 imphash()함수로 비교
imphash값이 중구난방으로 있어 IOC 정보로 부적합
타겟 그룹을 자세히 살펴보면, 아이콘이 서로 다른것을 확인 가능
깨진 아이콘도 존재하고, 깨지지 않은 아이콘도 존재
이를 이용하여 IOC로 사용할 가능성 있음
CFF Explorer로 살펴보면, 리소스 영역에 해당 아이콘 데이터가 들어있음
깨진 아이콘도 존재하고, 깨지지 않고 노이즈도 없는 아이콘도 존재함
이중, 가장 작고 가장 노이즈가 없은 아이콘을 기준으로 깨진 아이콘 파일과 깨지지 않은 아이콘 파일을 비교
아이콘의 정보를 비교한 결과, 정보가 같지 않음
정보가 같지 않으니, 이 정보는 IOC로 활용이 불가능
그러나, IconGroups를 이용하면 가능함
정상 파일이 사용하는 아이콘 그룹과 비정상 파일이 사용하는 아이콘 그룹을 합하면 IOC 정보로 활용 가능
IconGroups 카테고리 내 파일 내용을 Hex 형태로 복사
이를 깨진 파일, 정상 파일 IconGroup값에 각각 추가
정확하게 탐지 대상 200개만을 탐지한 것을 확인 가능
'KISA 사이버 보안 훈련 > YARA 정규표현식 활용' 카테고리의 다른 글
Yara Docs 사용법 및 Epoch 시간 변환 실습 (0) | 2023.06.26 |
---|---|
Yara Rule 모듈 사용 실습 (0) | 2023.06.26 |
Yara Rule 모듈 사용 기본 (0) | 2023.06.26 |
Yara Rule 작성 응용 실습 (0) | 2023.06.25 |
Yara Rule 작성 기본 실습 (0) | 2023.06.25 |