작은 메모장

가상주소공간(Virtual Address Space) 가상주소는 물리메모리와는 다른 가상의 메모리 공간을 논리적으로 구현한 것으로, 프로세스의 실행파일 및 데이터를 저장하는 용도로 사용 프로세스는 가상 주소를 사용하고, 데이터를 사용(읽기/쓰기) 할 때는 물리 주소로 변환하여 사용 즉, 이 VAS를 사용하기 위해선 가상 주소(Virual Address)와 물리 주소(Physical Address)가 필요 이게 왜 필요한가? 프로세스는 큰것부터 작은것까지 용량이 다양함 용량이 큰 프로세스를 메모리에 그대로 올리게 되면, 메모리 용량에 큰 부담이 됨 문제는 메모리에 다른 프로세스까지 같이 존재하고, 동작한다는 것 즉, 한정된 메모리에서 여러 프로세스를 실행시킬 수 있도록 메모리 구조를 구성하는가?의 해답으로..

PE파일의 생성 및 실행 - 윈도우의 실행파일은 소스코드 파일, 오브젝트 파일, 실행파일(PE) 순으로 빌딩됨 이 과정에서 컴파일러(Compiler)와 링커(Linker)가 관여 - 컴파일 단계에서 컴파일러의 주요 기능은 소스코드를 아키텍처에 맞는 기계어 코드로 변환하는 것 - 실행파일이 실행되면, ntdll.dll 모듈에 정의되어 있는 로더 함수들에 의해 메모리에 매핑됨 이 과정에서 메모리에 대한 권한(Read, Write, Execute)부여, 사용하는 API에 대한 주소값을 조사(바인딩)하는 작업이 수행 더욱 쉽게 이야기를 해보자... 하나의 프로젝트가 A.c B.c C.c라는 3개의 C코드로 구성되어 있고, 이를 빌드해 실행파일을 만드는 상황을 가정 먼저 컴파일러가 컴파일을 통해 소스코드 파일을 ..

조건이 꽤 까다로운 문제 사용할 IOC 정보를 잘 골라야 해결할 수 있는 문제 첫번째로, 탐지대상과 미포함대상의 특징부터 확인 탐지 대상 미포함 대상 파일 명 64자리 대문자 16진수 64자리 대문자 16진수 파일 사이즈 118KB ~ 562KB 1KB ~ 284KB 유형 응용 프로그램 응용 프로그램 위 표는 각 대상 파일들의 특징을 정리한 것 두 대상은 육안으로 파악할 수 있는 정보로는 겹치는 정보가 많음 IOC로 넣기에 부적합 CFF Explorer로 탐지 대상 파일의 IOC 후보를 추출 여러 파일을 조사한 결과, File Type, File Info, InternalName이 대다수 겹치는 것을 확인 이를 IOC로 지정 첫 번째 IOC인 Portable Executable 32를 탐지하기 위해 32..

기초적인 Yara Rule부터 작성 만들긴 했는데 이 난해한 조건을 어떻게 표현해야할 지 뚜렷히 감이 잡히지 않음 즉, 표현 방법을 몰라 Yara Rule 작성 불가 이 때 Yara Document 페이지를 이용 Yara의 사용법이 담긴 백과사전 GUI 형태를 감지하는 Yara를 찾고 싶으니, GUI를 검색하고 PE 모듈이 써있는 것을 클릭 사용법을 획득, 이를 토대로 Yara Rule 작성 GUI 감지하는 Rule 추가 완료 이제 시간 정보를 탐지하는 Rule을 검색 timestamp는 epoch 시간으로 인식하는 조건을 가짐 이를 위해 Epoch Converter에 접속 여기서 2015/1/1/00:00:00 ~ 2017/12/31/11:59:59를 검색 Epoch값을 획득하였음 이를 Yara Rul..

모듈 사용을 위한 실습을 진행 저번과 같이 실습은 미리 마련된 악성 파일셋을 제공받아 진행 첫 번째 문제 특정 해시 값을 물어보는 문제 파일의 이름은 일반적인 유니코드 데이터로 이루어져 있기 때문에 이를 해시로 변환 파일 시작부터 끝까지 파라미터로 넣은 후 동일한 해시값이 존재하면 탐지하는 방식 하나의 파일이 탐지 됨 두 번째 문제 악성 파일과 동일한 라이브러리와 함수를 사용하는 악성파일을 탐지하는 문제 타겟이 되는 악성 파일의 해시값을 모르므로, console모듈과 pe 모듈을 사용하여 이를 탐지 파일의 MD5 해시값을 획득 이를 다시 Yara Rule에 적용 7개의 파일이 검출된 것을 확인 가능 세 번째 문제 특정 EntryPoint로 UPX 패킹을 한 파일을 찾는 문제 일단 Entry Point부터..

Yara Rule 작성 시, 더욱 다양한 조건을 표현할 수 있도록 확장 기능을 제공 룰 작성시 상단에 import [모듈 명]을 작성하여 모듈을 불러올 수 있음 [모듈 명].[함수 명] 형태로 모듈이 제공하는 함수만 사용 가능 Import "pe" rule singleSection { condition: pe.number_of_sections == 1 ... } PE 모듈 Portable Executable, 윈도우 실행 파일에 대하여 자세한 규칙을 작성 제공하는 주요 함수 및 속성값은 아래를 따름 함수/속성 의미 반환 값 checksum OptionalHeader에 저장된 PE 체크섬 값 반환 정수 calculate_checksum() PE 체크섬 값을 계산하여 값을 반환 정수 subsystem 실행 ..

조금 더 어려운 문제들을 풀어보자 문제풀이에 사용될 악성파일은 기본적으로 제공받은 파일을 사용하였음 첫 번째 문제 아는 정보가 너무 한정적 기본적인 Yara룰부터 만들고 시작 BinText는 프로그램 바이너리 내에서 택스트 문자만 추출해주는 프로그램 즉, 이 파일을 특정할 수 있는 텍스트를 직접 탐색하는 프로그램 조건에서 언급한 악성 파일을 BinText에서 실행 텍스트들을 내리다보면 PADDING이 무진장 길게 써있는 텍스트를 발견 일반적인 프로그램들은 16진수 값으로 00을 작성하는 편이 대다수 이 파일은 PADDINGXX라는 값으로 이를 표현함 이를 Yara Rule에 추가 작성한 룰을 바탕으로 하위 디랙토리에 있는 파일까지 검사 후, result.txt에 이를 저장 뭐가 잔뜩 나오긴 함, 그래도 ..

기본적인 내용을 다루는 Yara Rule 작성을 실습해보자 분류 대상 파일은 기본제공된 파일셋을 사용 첫 번째 문제 기본적으로 Yara Rule을 작성하므로, yar파일을 생성해보자 여기에 간단한 룰명과 설정을 지정 룰의 조건은 아주 간단함 "potato" 문자열을 strings 영역안에 조건으로 두고, 이 조건 모두에 해당하는 파일이 있으면 분류 대상으로 지정 해당 폴더 안에서 yara를 실행시키면 3개의 파일이 탐지되는 것을 볼 수 있음 실제로 존재하는지 확인 실제로 문자열이 존재하는 것을 확인 두 번째 문제 비슷한 조건이긴 하나, 이번엔 16진수를 찾는 문제로 바뀌었음 첫 번째 문제에서 strings조건만 살짝 바꾸면 해결되는 문제 실행하면 3개의 파일이 탐지된 것을 확인 실제로 16진수 값이 존재..