목록KISA 사이버 보안 훈련 (60)
작은 메모장
Yara? - VirusTotal에서 제작한 악성코드 패턴을 이용하여 악성 파일을 분류하는데 사용하는 도구 - 간단한 Rule를 작성해 Rule에 맞는 악성코드를 판단 - Rule은 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원 - 똑같은 Rule를 계속 사용하면 변종 탐지 능력이 떨어짐 정규표현식? - 문자열의 일정한 규칙(패턴)을 표현하는 형식 언어 - 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색 - 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원 - Greedy 탐지와 Lazy탐지로 탐지율과 오탐율을 조율할 수 있음 Yara와 정규표현식 Yara는 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용 정규표현식은 문자열의 일정 규칙을 표현하는 형식의 언어 => 이 둘을 합친다..
윈도우 단말의 악성코드 유입 경로 - 웹 페이지를 통한 브라우저 공격 맟 악성코드 유입 일반 사용자가 자주 사용하는 정보수집 경로는 브라우저 이 과정에서 공격자의 악성 스크립트 혹은 익스플로잇 코드로 인해 악성코드가 유입 - 악성 문서를 통한 악성코드 유입 공격자가 일반 사용자에게 스피어피싱 메일을 보내는 방식 일반적인 메일로 위장하여 악성 메일을 전달 악성 메일에는 악성 파일(PDF, HWP, DOC, PPT)등을 첨부하여 이를 열어보게 유도 - 외장 매체를 통한 악성코드 유입 USB, 외장 하드디스크 등을 통해 악성코드가 유입 외부와 통제된 인트라넷 또한 내부 직원의 외장 매체를 통해 감염이 가능 - 로컬 네트워크의 다른 단말을 통한 유입 같은 네트워크를 사용하고 있는 감염된 노드에 의한 감염 자가 ..
윈도우 10 운영체제에서 실습 Forecopy_handy라는 응용 프로그램을 사용 다양한 파일들을 수집할 수 있는 것을 확인 가능 -m 옵션을 사용하여 MFT 파일을 수집 지정된 경로에 파일이 생긴 것을 확인 가능 이런식으로 하나하나 가져올 수 있음 굉장히 수동적인 방법 근데 이게 너무 귀찮다/오타날거 같다/복잡하다 같은 사람들을 위한 자동화 프로그램 또한 존재 Windows Live Response 프로그램은 이를 자동으로 해주는 프로그램 Windows OS 말고 MAC OS, Linux OS에서도 사용 가능 선택지는 크게 두가지인데, 위쪽의 선택지는 결과물을 암호화할 것인지를 물어봄 아래쪽의 선택지는 어떤 모드로 수집할 것인지를 물어봄 트리아지를 고르고 실행하면, cmd가 열리며 자동으로 수집 수집한..
아티팩트? 운영체제 혹은 응용 프로그램이 동작하면서 생성된 흔적 = 사용흔적 생성되는 증거는 운영체제가 만든 "생성 증거", 사용자가 만든 "보관 증거"로 분류 즉, 아티팩트는 생성 증거 안에 있음 왜 필요? => 침해사고의 원인을 규명하고 재발을 방지하려면... 이 아티팩트를 확보해야 함 단, 접근 권한, 정보 공개 제한, 기술적 문제 등... 아티팩트 확보에 어려움이 있음 또, 사용자 랩탑 or PC같은 엔드포인트는 아티팩트 유형이 다양 => 시스템의 영향을 최소화하면서 아티팩트를 확보 => 가급적 노이즈와 수집 누락을 최소화 할 수 있는 도구 사용 윈도우의 대표적인 행위별 아티팩트 - 윈도우 OS에서 발생할 수 있는 사용자 행위들 파일 다운로드, 응용프로그램 실행, 파일 및 폴더 열람, 파일 삭제,..
이번 목표 문서 트리아지 늘 그렇듯 스트림 추출 먼저 시행 BIN00001.OLE와 BIN00002.jpg가 있음 분석을 위해 복사 및 압축 해제 압축을 해제 후 그림 파일을 hex 에디터로 연 모습 jfif형식을 띄고 있는 정상 그림 파일임을 확인 가능 뜬금없이 춘천시 로고 이미지가 보임 ?? 이게 왜 악성파일임? 의문이 생김 실제 한글 파일을 열어보면 문서 상단에 춘천시 로고가 있음을 확인 가능 아니 그래서 이게 왜 문제? 이 문서의 문제는 문서를 편집하려고 마우스를 올리면 텍스트 편집 커서 표시가 아니라 하이퍼링크 클릭 커서 표시가 나옴 즉, 저 춘천시 로고가 문서 전체를 덮고 있는 엄청나게 커다란 이미지 하이퍼링크를 확인 외부의 어떤 파일로 연결되는 것을 확인 가능 실제로 해당 프로그램이 있는 것..
이번 목표 문서 트리아지 항상 하듯 파일의 스트림부터 조사 2 ~ 6 섹션에 이상한 OLE, png 스트림이 발견 됨 zlib으로 압축되었을 것이므로, 압축 해제또한 진행 압축 해제가 완료되었으므로, 파일을 분석하기 시작 일단 2개의 사진 파일 전부 정상적인 PNG 파일임을 확인 내용물을 열어서 무슨 사진인지 확인 놀랍게도 상위버전 알람창과 매우 유사하게 생긴 사진(!!!)파일이 존재 실제로 악성 한글 파일을 열면 저런 창(아님)이 뜨는 것을 확인 가능함 즉, 별도의 가짜 알람 창을 만들어 사용자를 속이게 해 스크립트를 실행하게 하는 악성 코드임을 확인 한글은 그림이나 표, 그리기 개체에 하이퍼링크를 연결하는 기능이 있음 하이퍼링크를 연결하는 방법은 Ctrl + 좌클릭 때문에 저 확인 버튼에 악성코드를 ..
이번 목표 문서 트리아지 늘 그렇듯 데이터 스트림부터 확인 BIN0001.eps 스크립트가 잡힘 이전 사례에서도 보았듯, 포스트 스크립트는 정상적인 문서에서는 나오기 힘듬 악성 공격이 들어간 스크립트라고 판단 가능 이 스크립트를 별도의 파일로 추출 zlib으로 압축되어 있을 것이므로, 압축 또한 해제 정상적인 압축 해제가 된 모습 코드가 난독화가 되어있는 모습 저번처럼 def를 기준으로 줄바꿈을 실행 스크립트는 간단한 구성 Y101변수에 뭔가 엄청나게 긴 데이터를 넣고 이를 Y18변수와 xor연산을 한 뒤 exec 함수로 실행시킴 => exec 지우고 고스트 스크립트 위에서 어떻게 돌아가는지 보면 됨 실행키시면 스택에 값 하나가 들어있는것을 볼 수 있음 이 값은 아까 엄청나게 긴 값이 디코딩 된 스크립트..
이번 목표 문서 희안하게 이 문서는 확장자가 hwp가 아닌 hwpx로 되어있음 hwpx은 OWPML(Open Word-Processor Markup Language)로 만들어 짐 이로인해 만들어진게 HWPML 그 확장자가 hwpx hwp와 hwpx의 가장 큰 차이는 hwp는 바이너리 파일 기반 포맷 hwpx는 xml기반의 개방형 파일 포맷 = ZIP 파일 포맷 hwpx로 이루어지는 공격은 - xml에 공격자의 코드를 삽입 - 삽입한 xml 파일을 파싱 후 사용자에게 전송 - HWP 프로세스가 이를 파싱하는 도중 공격자의 코드를 실행 즉, xml에 악성 페이로드 코드가 존재 트리아지 확장자를 ZIP으로 변경 후 분석 특수 파이썬 코드를 실행하여 이상한 xml파일을 감지 section0.xml 파일이 이상하..