작은 메모장

조건이 꽤 까다로운 문제 사용할 IOC 정보를 잘 골라야 해결할 수 있는 문제 첫번째로, 탐지대상과 미포함대상의 특징부터 확인 탐지 대상 미포함 대상 파일 명 64자리 대문자 16진수 64자리 대문자 16진수 파일 사이즈 118KB ~ 562KB 1KB ~ 284KB 유형 응용 프로그램 응용 프로그램 위 표는 각 대상 파일들의 특징을 정리한 것 두 대상은 육안으로 파악할 수 있는 정보로는 겹치는 정보가 많음 IOC로 넣기에 부적합 CFF Explorer로 탐지 대상 파일의 IOC 후보를 추출 여러 파일을 조사한 결과, File Type, File Info, InternalName이 대다수 겹치는 것을 확인 이를 IOC로 지정 첫 번째 IOC인 Portable Executable 32를 탐지하기 위해 32..

기초적인 Yara Rule부터 작성 만들긴 했는데 이 난해한 조건을 어떻게 표현해야할 지 뚜렷히 감이 잡히지 않음 즉, 표현 방법을 몰라 Yara Rule 작성 불가 이 때 Yara Document 페이지를 이용 Yara의 사용법이 담긴 백과사전 GUI 형태를 감지하는 Yara를 찾고 싶으니, GUI를 검색하고 PE 모듈이 써있는 것을 클릭 사용법을 획득, 이를 토대로 Yara Rule 작성 GUI 감지하는 Rule 추가 완료 이제 시간 정보를 탐지하는 Rule을 검색 timestamp는 epoch 시간으로 인식하는 조건을 가짐 이를 위해 Epoch Converter에 접속 여기서 2015/1/1/00:00:00 ~ 2017/12/31/11:59:59를 검색 Epoch값을 획득하였음 이를 Yara Rul..

모듈 사용을 위한 실습을 진행 저번과 같이 실습은 미리 마련된 악성 파일셋을 제공받아 진행 첫 번째 문제 특정 해시 값을 물어보는 문제 파일의 이름은 일반적인 유니코드 데이터로 이루어져 있기 때문에 이를 해시로 변환 파일 시작부터 끝까지 파라미터로 넣은 후 동일한 해시값이 존재하면 탐지하는 방식 하나의 파일이 탐지 됨 두 번째 문제 악성 파일과 동일한 라이브러리와 함수를 사용하는 악성파일을 탐지하는 문제 타겟이 되는 악성 파일의 해시값을 모르므로, console모듈과 pe 모듈을 사용하여 이를 탐지 파일의 MD5 해시값을 획득 이를 다시 Yara Rule에 적용 7개의 파일이 검출된 것을 확인 가능 세 번째 문제 특정 EntryPoint로 UPX 패킹을 한 파일을 찾는 문제 일단 Entry Point부터..

Yara Rule 작성 시, 더욱 다양한 조건을 표현할 수 있도록 확장 기능을 제공 룰 작성시 상단에 import [모듈 명]을 작성하여 모듈을 불러올 수 있음 [모듈 명].[함수 명] 형태로 모듈이 제공하는 함수만 사용 가능 Import "pe" rule singleSection { condition: pe.number_of_sections == 1 ... } PE 모듈 Portable Executable, 윈도우 실행 파일에 대하여 자세한 규칙을 작성 제공하는 주요 함수 및 속성값은 아래를 따름 함수/속성 의미 반환 값 checksum OptionalHeader에 저장된 PE 체크섬 값 반환 정수 calculate_checksum() PE 체크섬 값을 계산하여 값을 반환 정수 subsystem 실행 ..

조금 더 어려운 문제들을 풀어보자 문제풀이에 사용될 악성파일은 기본적으로 제공받은 파일을 사용하였음 첫 번째 문제 아는 정보가 너무 한정적 기본적인 Yara룰부터 만들고 시작 BinText는 프로그램 바이너리 내에서 택스트 문자만 추출해주는 프로그램 즉, 이 파일을 특정할 수 있는 텍스트를 직접 탐색하는 프로그램 조건에서 언급한 악성 파일을 BinText에서 실행 텍스트들을 내리다보면 PADDING이 무진장 길게 써있는 텍스트를 발견 일반적인 프로그램들은 16진수 값으로 00을 작성하는 편이 대다수 이 파일은 PADDINGXX라는 값으로 이를 표현함 이를 Yara Rule에 추가 작성한 룰을 바탕으로 하위 디랙토리에 있는 파일까지 검사 후, result.txt에 이를 저장 뭐가 잔뜩 나오긴 함, 그래도 ..

기본적인 내용을 다루는 Yara Rule 작성을 실습해보자 분류 대상 파일은 기본제공된 파일셋을 사용 첫 번째 문제 기본적으로 Yara Rule을 작성하므로, yar파일을 생성해보자 여기에 간단한 룰명과 설정을 지정 룰의 조건은 아주 간단함 "potato" 문자열을 strings 영역안에 조건으로 두고, 이 조건 모두에 해당하는 파일이 있으면 분류 대상으로 지정 해당 폴더 안에서 yara를 실행시키면 3개의 파일이 탐지되는 것을 볼 수 있음 실제로 존재하는지 확인 실제로 문자열이 존재하는 것을 확인 두 번째 문제 비슷한 조건이긴 하나, 이번엔 16진수를 찾는 문제로 바뀌었음 첫 번째 문제에서 strings조건만 살짝 바꾸면 해결되는 문제 실행하면 3개의 파일이 탐지된 것을 확인 실제로 16진수 값이 존재..

Yara Rule 작성 방법 무엇을 분류할지 정함 IOC 정보를 수집 => 이를 바탕으로 Rule 파일을 작성 참고하면 좋은 예시 Yara전반:https://yara.readthedocs.io/ YaraRule작성 실 사례:https://github.com/Yara-Rules/rules Yara Rule 구조 기본적으로 .yar의 확장자를 가진 파일로 되어있음 파일은 크게 두 영역으로 나뉘는데, 모듈 및 다른 Yara Rule 호출 영역, Rule 선언 영역 모듈 및 Yara Rule 호출 영역은 해당 룰 파일 안에서 함께 쓸 모듈 혹은 Rule 파일이 어떻게 실행되는지를 선언 Include "./rules/thisIsTestRules.yar" Import "pe" Rule 선언 영역에서는 어떤 IOC ..

Yara? VirusTotal에서 만든 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용되는 도구 간단한 룰을 작성하여 룰에 맞는 악성코드를 판단 문자열과 바이너리 패턴을 기반으로 파일 탐지 Triage 프랑스어로 '선별'이라는 뜻 응급상황 발생 시 병원에서 치료의 우선순위를 정하기 위한 분류체계로 사용됨 정보보안에서의 트리아지는 수 많은 분석대상 중 악성으로 의심되는 파일을 선별하는 과정 모든 악성코드를 분류하기에는 인적/물적 자원이 부족하기에 트리아지를 실행 분석 대상을 선별하여 위험도에 따라 우선순위를 정함 IOC Indicator Of Compromise의 약어. 침해지표를 의미 위협활동을 특정할 수 있는 데이터 더보기 악성 파일의 Hash 악성 행위 수행 후 남는 로그 악성 파일을 배포한 ..