작은 메모장

Yara Rule 작성 방법 무엇을 분류할지 정함 IOC 정보를 수집 => 이를 바탕으로 Rule 파일을 작성 참고하면 좋은 예시 Yara전반:https://yara.readthedocs.io/ YaraRule작성 실 사례:https://github.com/Yara-Rules/rules Yara Rule 구조 기본적으로 .yar의 확장자를 가진 파일로 되어있음 파일은 크게 두 영역으로 나뉘는데, 모듈 및 다른 Yara Rule 호출 영역, Rule 선언 영역 모듈 및 Yara Rule 호출 영역은 해당 룰 파일 안에서 함께 쓸 모듈 혹은 Rule 파일이 어떻게 실행되는지를 선언 Include "./rules/thisIsTestRules.yar" Import "pe" Rule 선언 영역에서는 어떤 IOC ..

Yara? VirusTotal에서 만든 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용되는 도구 간단한 룰을 작성하여 룰에 맞는 악성코드를 판단 문자열과 바이너리 패턴을 기반으로 파일 탐지 Triage 프랑스어로 '선별'이라는 뜻 응급상황 발생 시 병원에서 치료의 우선순위를 정하기 위한 분류체계로 사용됨 정보보안에서의 트리아지는 수 많은 분석대상 중 악성으로 의심되는 파일을 선별하는 과정 모든 악성코드를 분류하기에는 인적/물적 자원이 부족하기에 트리아지를 실행 분석 대상을 선별하여 위험도에 따라 우선순위를 정함 IOC Indicator Of Compromise의 약어. 침해지표를 의미 위협활동을 특정할 수 있는 데이터 더보기 악성 파일의 Hash 악성 행위 수행 후 남는 로그 악성 파일을 배포한 ..

조금 더 복잡한 문제를 풀어보자 첫 번째 문제 대한민국 전화번호부만 살펴 보자. 미국의 경우, 무조건 1로 전화번호가 시작한다. 일본의 경우, 0120으로 전화가 시작한다. 반면 대한민국의 경우, 02, 031, 032, 033, 041 등 다양하다. 결과적으로, 대한민국 전화번호 앞자리는 0으로 시작하고 1~6의 숫자가 한번 혹은 두번 나오는 구조로 되어있다. (0[1-6]{1,2}) 전화번호의 중간번호는 0~9의 숫자가 3개 혹은 4개의 숫자로 이루어져 있다.( \d{3,4} ) 전화번호의 마지막번호는 0~9의 숫자가 4개로 이루어져 있다. ( \d{4} ) 종합적으로, 위 문제의 정규표현식은 /0[1-6]{1,2}-\d{3,4}-\d{4}/g로 표현 가능하다. 두 번째 문제 010으로 번호가 시작해..

배운 정규표현식을 사용하여 다양한 필터링을 진행해보자 첫 번째 문제 단순하게 생각하면, 숫자의 범위인 0~9까지 탐지하도록 지정해주면 된다. 때문에, /[0-9]/g가 가장 기초적인 해답이 될 것이다. 하지만, 이보다 더 경량화시킬 수 있는 방법이 있다. 바로, /\d/g로, \d는 숫자만을 탐지하는 정규표현식이다. 두 번째 문제 위와 동일한 방법으로, 영문, 숫자, _를 제외한 문자를 입력하는 식을 만들면 된다. 따라서, /[^A-z0-9]/g가 기초적인 해답이 된다. 하지만, 더 간단한 방법이 존재한다. 앞서 공부했던 내용 중, 단어만을 제외하고 탐지하는 정규표현식이 존재했다. 이를 사용하면, /\W/g가 조건에 부합하는 정규표현식이 될 것이다. 세 번째 문제 이 문제는 공백을 제외하는 조건이 걸려있..

정규표현식이란 문자열의 일정한 규칙(패턴)을 표현하는 형식 언어 간단한 규칙을 작성하여 규칙에 맞는 문자열 검색 단순히 득정 문자열의 포함/제외 뿐 아니라 반복 표현 지원 그래서 이걸 어케 씀? 아래와 같은 문장을 보자 더보기 정규 표현식이라는 문구는 일치하는 텍스트가 준수해야 하는 "패턴"을 표현하기 위해 특정한 표준의 텍스트 신택스를 의미하기 위해 사용된다. 여기서, 텍스트라는 단어를 검색하려고 한다. 그러면 /텍스트/g라는 정규표현식을 사용한다. 더보기 정규 표현식이라는 문구는 일치하는 텍스트가 준수해야 하는 "패턴"을 표현하기 위해 특정한 표준의 텍스트 신택스를 의미하기 위해 사용된다. 근데, 그냥 텍스트가 아니라 앞뒤로 공백이 있는 텍스트라는 단어를 검색하려고 한다. 그러면 \s/텍스트\s/g라..

Yara? - VirusTotal에서 제작한 악성코드 패턴을 이용하여 악성 파일을 분류하는데 사용하는 도구 - 간단한 Rule를 작성해 Rule에 맞는 악성코드를 판단 - Rule은 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원 - 똑같은 Rule를 계속 사용하면 변종 탐지 능력이 떨어짐 정규표현식? - 문자열의 일정한 규칙(패턴)을 표현하는 형식 언어 - 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색 - 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원 - Greedy 탐지와 Lazy탐지로 탐지율과 오탐율을 조율할 수 있음 Yara와 정규표현식 Yara는 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용 정규표현식은 문자열의 일정 규칙을 표현하는 형식의 언어 => 이 둘을 합친다..

윈도우 단말의 악성코드 유입 경로 - 웹 페이지를 통한 브라우저 공격 맟 악성코드 유입 일반 사용자가 자주 사용하는 정보수집 경로는 브라우저 이 과정에서 공격자의 악성 스크립트 혹은 익스플로잇 코드로 인해 악성코드가 유입 - 악성 문서를 통한 악성코드 유입 공격자가 일반 사용자에게 스피어피싱 메일을 보내는 방식 일반적인 메일로 위장하여 악성 메일을 전달 악성 메일에는 악성 파일(PDF, HWP, DOC, PPT)등을 첨부하여 이를 열어보게 유도 - 외장 매체를 통한 악성코드 유입 USB, 외장 하드디스크 등을 통해 악성코드가 유입 외부와 통제된 인트라넷 또한 내부 직원의 외장 매체를 통해 감염이 가능 - 로컬 네트워크의 다른 단말을 통한 유입 같은 네트워크를 사용하고 있는 감염된 노드에 의한 감염 자가 ..

윈도우 10 운영체제에서 실습 Forecopy_handy라는 응용 프로그램을 사용 다양한 파일들을 수집할 수 있는 것을 확인 가능 -m 옵션을 사용하여 MFT 파일을 수집 지정된 경로에 파일이 생긴 것을 확인 가능 이런식으로 하나하나 가져올 수 있음 굉장히 수동적인 방법 근데 이게 너무 귀찮다/오타날거 같다/복잡하다 같은 사람들을 위한 자동화 프로그램 또한 존재 Windows Live Response 프로그램은 이를 자동으로 해주는 프로그램 Windows OS 말고 MAC OS, Linux OS에서도 사용 가능 선택지는 크게 두가지인데, 위쪽의 선택지는 결과물을 암호화할 것인지를 물어봄 아래쪽의 선택지는 어떤 모드로 수집할 것인지를 물어봄 트리아지를 고르고 실행하면, cmd가 열리며 자동으로 수집 수집한..