<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
  <channel>
    <title>작은 메모장</title>
    <link>https://gate36.tistory.com/</link>
    <description>지식 냉장고</description>
    <language>ko</language>
    <pubDate>Wed, 8 Jul 2026 06:15:08 +0900</pubDate>
    <generator>TISTORY</generator>
    <ttl>100</ttl>
    <managingEditor>으앙내눈</managingEditor>
    <image>
      <title>작은 메모장</title>
      <url>https://tistory1.daumcdn.net/tistory/5351069/attach/b2ebf132ae09426abe00482f10eb113c</url>
      <link>https://gate36.tistory.com</link>
    </image>
    <item>
      <title>서평: 바로바로 클로드</title>
      <link>https://gate36.tistory.com/128</link>
      <description>&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;&lt;br /&gt;&lt;i&gt;# 본 글은 &quot;골든래빗&quot; 사에서 &quot;바로바로 클로드&quot; 책을 지원받아 작성한 글입니다.&lt;/i&gt;&lt;br /&gt;&lt;br /&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;본업으로 바쁜와중 우연한 기회를 얻어 좋은 책의 서평단에 참여하게 되었다. 출판사가 요청한 책은 근래 급부상한 클로드 AI와 관련된 책으로 보여, 관심을 가지고 참여하게 되었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;블로그에 작성되어 있는 글들의 주제와 방향을 보면, 나는 본업으로 정보보안에 종사하고 있다. 해당 업무에 종사하면서도 늘 정보 보안이라는 업무가 막연하게 느껴지는 점은, 생각보다 정보보안은 정보 보안의 일을 하지 않는다. 우리가 통상적으로 생각하는 &quot;정보 보안&quot;으로서의 업무가 30% 정도라면, 나머지 70%는 문서 작성, 통신 장애 지원, 타 부서(주로 개발)와 방향성으로의 논쟁 등등 상상했던 그림보다 꽤 동떨어진 업무를 수행한다. 내가 이 서평단에 참여한 이유도 그런 상황에서 발현한 것으로, 클로드의 도움을 받아 각종 자동화툴과 그걸 이어주는 파이프라이닝을 설계하고 싶다는 생각으로 참여하게 되었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;2252&quot; data-origin-height=&quot;4000&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bKN7mf/dJMcacwQ6Ld/kDhwAiT852sUstm4g93EeK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bKN7mf/dJMcacwQ6Ld/kDhwAiT852sUstm4g93EeK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bKN7mf/dJMcacwQ6Ld/kDhwAiT852sUstm4g93EeK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbKN7mf%2FdJMcacwQ6Ld%2FkDhwAiT852sUstm4g93EeK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;2252&quot; height=&quot;4000&quot; data-origin-width=&quot;2252&quot; data-origin-height=&quot;4000&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;서평이라는 글의 취지가 으레 그렇듯, 긴 시간을 들여 두번을 읽었다. 책의 내용을 완전히 이해하고, 저자가 말하고자 하는 내용을 내 생각과 관철하여 논리적으로 풀어나가는 과정이 결코 쉬운 일은 아니기에, 완벽하게 까진 아니더라도 자신있게 이 책의 내용을 말할 수 있어야 한다는 생각이 들었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;결론부터 말하면 이 책은 클로드의 설명서에 가깝다. 새 전자기기를 샀을 때 박스안에 같이 있는 직관적인 종이 설명서를 떠올리면 이해하기 쉽다. 내용이 가볍다는 폄하가 아니라, 클로드를 제대로 써보고 싶은 사람들의 퀵 가이드에 가깝다는 의미다. 마치 코딩 공부를 하려고 시중에서 유명한 코딩 책을 구입하면 이런 느낌일 것이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그런 시선으로 보았을 때, 이 책의 구성은 꽤나 치밀하고 알차다. AI 챗봇의 기초적인 원리와 자율형 AI 에이전트의 개념을 짚어주는 것은 물론, 요즘 프롬프트 엔지니어링의 하네스(Harness) 기법까지 아우르며 독자가 최신 트렌드를 놓치지 않게 돕는다. 중간중간 이해를 돕기 위해 예제와 A to Z 가이드라인을 배치하여, 독자가 책을 곁에 두고 직접 따라 하면서 클로드의 활용법을 체화하도록 유도한 저자의 세심함도 돋보인다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1521&quot; data-origin-height=&quot;902&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/lSC1V/dJMb99UpmaZ/atEFs48gWYEAtVyOV6HvqK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/lSC1V/dJMb99UpmaZ/atEFs48gWYEAtVyOV6HvqK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/lSC1V/dJMb99UpmaZ/atEFs48gWYEAtVyOV6HvqK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FlSC1V%2FdJMb99UpmaZ%2FatEFs48gWYEAtVyOV6HvqK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1521&quot; height=&quot;902&quot; data-origin-width=&quot;1521&quot; data-origin-height=&quot;902&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1447&quot; data-origin-height=&quot;718&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/ybKF8/dJMcafUFRbm/VnKrlVJ3If62hpLsymZ5CK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/ybKF8/dJMcafUFRbm/VnKrlVJ3If62hpLsymZ5CK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/ybKF8/dJMcafUFRbm/VnKrlVJ3If62hpLsymZ5CK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FybKF8%2FdJMcafUFRbm%2FVnKrlVJ3If62hpLsymZ5CK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1447&quot; height=&quot;718&quot; data-origin-width=&quot;1447&quot; data-origin-height=&quot;718&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;철저하게 참고서의 본분을 다하는 책이기에, 시도할 수 있는 작업의 범위는 무궁무진하다. 나의 경우 내가 당장 필요하면서도 궁금했던 몇몇개의 아이디어를 시도해 보았다. 본업과 전혀 무관한 웹 기반의 간단한 리듬 게임을 만들어본다던가, 다른 하나는 내 투자 포트폴리오를 바탕으로 관련 경제 뉴스와 지표들을 클로드가 직접 비교&amp;middot;분석하여 평가하게 만든다던가... 가장 중요한것은 무엇을 만들것인가를 생각하고 그걸 정하는게 중요하다고 느낀다. 이 책에서 알려주는 클로드는 머릿속에 존재하는 아이디어를 밖으로 꺼내주는 도구일 뿐이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;결론적으로 클로드라는 도구가 품고 있는 잠재력은 막대하며, 이 책은 독자가 머릿속으로만 그리던 그 가능성을 현실로 끄집어낼 수 있게 돕는 충실한 안내서라는 말을 전하고 싶다. AI의 개념을 모르는 일반인부터 사내 시스템에 AI를 도입하고 싶은데 그 범위와 아웃풋 수준이 궁금한 고급 인프라 담당자까지, 이 책이 어느정도 해소해 줄 수 있을거라 생각한다.&lt;/p&gt;</description>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/128</guid>
      <comments>https://gate36.tistory.com/128#entry128comment</comments>
      <pubDate>Fri, 26 Jun 2026 14:28:59 +0900</pubDate>
    </item>
    <item>
      <title>암호화 시스템</title>
      <link>https://gate36.tistory.com/127</link>
      <description>&lt;table style=&quot;border-collapse: collapse; width: 100%; height: 136px;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 9.18605%; height: 85px; text-align: center;&quot; rowspan=&quot;5&quot;&gt;양방향&lt;/td&gt;
&lt;td style=&quot;width: 10.5814%; height: 68px; text-align: center;&quot; rowspan=&quot;4&quot;&gt;대칭키&lt;/td&gt;
&lt;td style=&quot;width: 13.6047%; height: 34px; text-align: center;&quot; rowspan=&quot;2&quot;&gt;Stream 방식&lt;/td&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;동기식&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;OTP, FSR, LFSR, NLFSR, OFB, RC4&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;비동기식(자기동기식)&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;CFB&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 13.6047%; height: 34px; text-align: center;&quot; rowspan=&quot;2&quot;&gt;Block 방식&lt;/td&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;Feistel&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;DES, SEED&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;SPN&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;Rijindael, ARIA&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 10.5814%; height: 17px; text-align: center;&quot;&gt;비대칭키&lt;/td&gt;
&lt;td style=&quot;width: 80.2326%; height: 17px; text-align: center;&quot; colspan=&quot;3&quot;&gt;RSA, ECC, EIGamal, DH&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 9.18605%; height: 51px; text-align: center;&quot; rowspan=&quot;3&quot;&gt;단방향&lt;/td&gt;
&lt;td style=&quot;width: 10.5814%; height: 51px; text-align: center;&quot; rowspan=&quot;3&quot;&gt;해시함수&lt;/td&gt;
&lt;td style=&quot;width: 13.6047%; height: 17px; text-align: center;&quot;&gt;MDC&lt;/td&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;해시함수&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;MD5, SHA-1, RIPEMD, HAS-160&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 13.6047%; height: 17px; text-align: center;&quot;&gt;MAC&lt;/td&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;해시함수+대칭키&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;축소 MAC, HMAC, CBC-MAC&lt;/td&gt;
&lt;/tr&gt;
&lt;tr style=&quot;height: 17px;&quot;&gt;
&lt;td style=&quot;width: 13.6047%; height: 17px; text-align: center;&quot;&gt;전자 서명&lt;/td&gt;
&lt;td style=&quot;width: 19.6512%; height: 17px; text-align: center;&quot;&gt;해시함수+비대칭키&lt;/td&gt;
&lt;td style=&quot;width: 46.9767%; height: 17px;&quot;&gt;RSA 전자서명, DSS, ECDSA, KCDSA&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;동기식 Stream: 난수열(키스트림) 독립 생성&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;비동기식 Stream: 난수열 종속 생성&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Feistel: 암호화 = 복호화&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;SPN: 암호화 != 복호화&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;비대칭키: 암호화 키 != 복호화 키&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;MDC: 무결성&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;MAC: 무결성+인증&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;전자 서명: 무결성+인증+부인방지&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1353&quot; data-origin-height=&quot;2403&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/l53Rd/btsKGVZ6MTa/QrkKqG7E18lygMyNxSkEN1/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/l53Rd/btsKGVZ6MTa/QrkKqG7E18lygMyNxSkEN1/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/l53Rd/btsKGVZ6MTa/QrkKqG7E18lygMyNxSkEN1/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fl53Rd%2FbtsKGVZ6MTa%2FQrkKqG7E18lygMyNxSkEN1%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;380&quot; height=&quot;675&quot; data-origin-width=&quot;1353&quot; data-origin-height=&quot;2403&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;</description>
      <category>보안 공부/정보보안기사</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/127</guid>
      <comments>https://gate36.tistory.com/127#entry127comment</comments>
      <pubDate>Tue, 12 Nov 2024 18:34:43 +0900</pubDate>
    </item>
    <item>
      <title>정보보호 관리와 보안 공격, 보안 용어</title>
      <link>https://gate36.tistory.com/126</link>
      <description>&lt;h3 data-ke-size=&quot;size23&quot;&gt;&lt;b&gt;정보보호 관리&lt;/b&gt;&lt;/h3&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;&amp;nbsp;&lt;/h4&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;정보보호 관리 개념&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정보의 수집/가공/저장/검색/송신/수신 중에 발생하는 췌손/변조/유출 등을 방지하기 위한 관리적/기술적 수단, 행위&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;관리체계 인증제도는 ISMS 혹은 ISMS-P 인증을 의무로 받고 있음.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;(망법 47조, 개보법 32조 2)&lt;/b&gt;&lt;/span&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;정보보호 관리 및 대책&lt;/h4&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;2222&quot; data-origin-height=&quot;1487&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/HaPxX/btsKEXL6RYM/OKP2VGmgqQqzKQMyiqRzl0/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/HaPxX/btsKEXL6RYM/OKP2VGmgqQqzKQMyiqRzl0/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/HaPxX/btsKEXL6RYM/OKP2VGmgqQqzKQMyiqRzl0/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FHaPxX%2FbtsKEXL6RYM%2FOKP2VGmgqQqzKQMyiqRzl0%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;2222&quot; height=&quot;1487&quot; data-origin-width=&quot;2222&quot; data-origin-height=&quot;1487&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;OSI 보안 구조&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;ITU-T 권고안 X.800.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;관리자가 효과적으로 보안 문제에 접근하여 조직화 할 수 있는 방법.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;보안 공격, 보안 매커니즘, 보안 서비스로 구분&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;&lt;b&gt;보안 공격&lt;/b&gt;&lt;/h3&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;2306&quot; data-origin-height=&quot;1431&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/2tV0O/btsKGNAWFA7/bsaQnll4BG21SxLk8lDMt0/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/2tV0O/btsKGNAWFA7/bsaQnll4BG21SxLk8lDMt0/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/2tV0O/btsKGNAWFA7/bsaQnll4BG21SxLk8lDMt0/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F2tV0O%2FbtsKGNAWFA7%2FbsaQnll4BG21SxLk8lDMt0%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;2306&quot; height=&quot;1431&quot; data-origin-width=&quot;2306&quot; data-origin-height=&quot;1431&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Snooping: 스누핑, 전송 메시지의 비인가 접근 및 데이터 탈취&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Traffic Analysis: 트래픽 분석, 트래픽의 전송 성향, 정황 등으로 메시지의 정보를 유추&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Modification: 변조, 메시지의 일부를 수정, 지연 등으로 인가되지 않은 효과를 노림&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Masquerading: 가장, 다른 개체의 행세를 하며 위장&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Replaying: 재연, 획득한 데이터를 보관 후 재전송하여 인가되지 않은 효과를 노림&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Repudiation: 부인, 메시지의 송/수신 사실을 부인&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Denial of Service: 서비스 거부, 시스템의 서비스 접근을 방해, 차단&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot; data-ke-style=&quot;style2&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 50%; text-align: center;&quot;&gt;소극적 공격 (수동 공격)&lt;/td&gt;
&lt;td style=&quot;width: 50%; text-align: center;&quot;&gt;적극적 공격 (능동 공격)&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;기밀성 위협&lt;/td&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;무결성, 가용성 위협&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;정보 획득이 목적&lt;/td&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;데이터, 시스템의 조작 및 방해가 목적&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;공격 여부를 인지하기 힘듬&lt;/td&gt;
&lt;td style=&quot;width: 50%;&quot;&gt;수집 정보를 바탕으로 오래 준비&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;&lt;b&gt;기본 보안 용어 정의&lt;/b&gt;&lt;/h3&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;자산&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;데이터 혹은 자산 소유자(Owner)가 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;가치를 부여한 실체&lt;/b&gt;&lt;/span&gt;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;취약점&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;시스템 내의 리소스에 대한 허가되지 않은 접근을 가능케 하는&lt;br /&gt;소프트웨어, 하드웨어, 절차 혹은 인력상의 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;약점&lt;/b&gt;&lt;/span&gt;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;위협&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;보안에 해가 되는 행동, 사건&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;가로챔(Interception): 비인가 대상이 접근을 획득, 기밀성 침해&lt;/li&gt;
&lt;li&gt;방해(Interruption): 정당한 시스템 자산의 접근, 수정, 사용 방해, 가용성 침해&lt;/li&gt;
&lt;li&gt;변조(Modification): 비인가 대상이 접근 후 내용 수정, 무결성 침해&lt;/li&gt;
&lt;li&gt;위조(Fabrication): 비인가 대상이 접근 후 위조 정보 생성, 무결성, 인증 침해&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;위험&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;위협 주체가 취약점을 활용할 수 있는 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;가능성&lt;/b&gt;&lt;/span&gt;, 이와 관련된 비즈니스 영향 및 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;결과&lt;/b&gt;&lt;/span&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;자산(Asset) x 위협(Treat) x 취약점(Vulnarability) =&amp;gt; V.A.T가 위험의 생성조건&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;노출&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;위협 주체로 인해 손실이 발생할 수 있는 경우&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;대책&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;잠재적 위험을 완화시키기 위한 기술적, 물리적, 제도적 장비 혹은 절차&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;다계층 보안/심층 방어(Defense of Depth)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Multi Layered Security, 여러 계층으로 이루어진 보안 대책이나 대응 수단&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;2576&quot; data-origin-height=&quot;1288&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/briADT/btsKE27LKhR/6RqTQC9bRyGpEOLY7cX7Z1/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/briADT/btsKE27LKhR/6RqTQC9bRyGpEOLY7cX7Z1/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/briADT/btsKE27LKhR/6RqTQC9bRyGpEOLY7cX7Z1/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbriADT%2FbtsKE27LKhR%2F6RqTQC9bRyGpEOLY7cX7Z1%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;2576&quot; height=&quot;1288&quot; data-origin-width=&quot;2576&quot; data-origin-height=&quot;1288&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;직무상의 노력&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Due: 목적을 위한 적절하고 충분한 의무&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Due care: 목적을 위한 충분한 주의&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Due Diligence: 목적을 위한 충분한 노력&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;사회공학&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;인간 상호간의 신뢰를 바탕으로 정상 보안 절차를 깨뜨리는 침입 수단&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;가장 약한 링크 원칙(보안의 수준은 가장 약한 부분이다)의 주 원인&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;시점 별 통제&lt;/h4&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;2044&quot; data-origin-height=&quot;1296&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/9aSYa/btsKGNOwJLn/NJUFyXuiNdKr0FTmC4CQ6K/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/9aSYa/btsKGNOwJLn/NJUFyXuiNdKr0FTmC4CQ6K/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/9aSYa/btsKGNOwJLn/NJUFyXuiNdKr0FTmC4CQ6K/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F9aSYa%2FbtsKGNOwJLn%2FNJUFyXuiNdKr0FTmC4CQ6K%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;2044&quot; height=&quot;1296&quot; data-origin-width=&quot;2044&quot; data-origin-height=&quot;1296&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;예방 통제: &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;사전에&lt;/b&gt;&lt;/span&gt; 위협과 취약점에 대처하는 통제. 정책, 경고 배너, 울타리 등&lt;/li&gt;
&lt;li&gt;탐지 통제: &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;위협을 탐지&lt;/b&gt;&lt;/span&gt;하는 통제. IDS, IPS, 접근 위반 로그 등&lt;/li&gt;
&lt;li&gt;교정 통제: &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;이미&lt;/b&gt;&lt;/span&gt; 탐지된 위협이나 취약점에 대처, 감소하는 통제.&amp;nbsp; 백업, 복구, 트랜잭션 로그 등&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;</description>
      <category>보안 공부/정보보안기사</category>
      <category>오블완</category>
      <category>티스토리챌린지</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/126</guid>
      <comments>https://gate36.tistory.com/126#entry126comment</comments>
      <pubDate>Tue, 12 Nov 2024 18:24:53 +0900</pubDate>
    </item>
    <item>
      <title>개요, 정보보호의 목표</title>
      <link>https://gate36.tistory.com/125</link>
      <description>&lt;ol style=&quot;list-style-type: decimal;&quot; data-ke-list-type=&quot;decimal&quot;&gt;
&lt;li&gt;&lt;b&gt;정보 보호의 목표&lt;/b&gt;&lt;br /&gt;기밀성 (Confidentiality)&lt;br /&gt;무결성 (Integrity)&lt;br /&gt;가용성 (Availability)&lt;br /&gt;인증성 (Authentication)&lt;br /&gt;책임추적성 (부인방지, Accountability)&lt;br /&gt;&lt;br /&gt;&lt;/li&gt;
&lt;li&gt;&lt;b&gt;보안 공격의 종류&lt;/b&gt;&lt;br /&gt;소극적 공격 - 자신을 최대한 드러내지 않으며 공격, 기밀성이 주로 침해&lt;br /&gt;적극적 공격 - 자신을 드러내며 과감하게 공격, 무결성과 가용성이 주로 침해&lt;/li&gt;
&lt;li&gt;&lt;b&gt;정보보호 대책&lt;/b&gt;&lt;br /&gt;기술적 보호대책 - 장비나 솔루션을 활용한 보안 구현&lt;br /&gt;물리적 보호대책 - 물리적 시설, 인력을 활용한 보안 구현&lt;br /&gt;관리적 보호대책 - 교육, 정책, 법 등을 활용한 보안 구현&lt;/li&gt;
&lt;li&gt;&lt;b&gt;시점 별 통제&lt;/b&gt;&lt;br /&gt;예방 통제 - &amp;lt;사고 발생&amp;gt; - 탐지 통제 - &amp;lt;사고 수습&amp;gt; - 교정 통제&lt;/li&gt;
&lt;/ol&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;&lt;b&gt;정보 보호의 목표&lt;/b&gt;&lt;/h3&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;기밀성 (Confidentiality)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;오직 &lt;b&gt;&lt;span style=&quot;color: #ee2323;&quot;&gt;인가된&lt;/span&gt;&lt;/b&gt;(authorized) 사람, 프로세스, 시스템이 정보에 접근 가능&lt;br /&gt;즉, 정보 소유자의 인가(권한)를 받은 사람만이 정보에 접근 가능&lt;br /&gt;접근 제어, 암호화 등으로 구현&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;무결성 (Integrity)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정해진 절차, 적법한 권한에 의해서만 정보의 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;변경&lt;/b&gt;&lt;/span&gt;이 가능&lt;br /&gt;변경에 대한 통제 및 오류, 실수, 태만 등으로 인한 파손의 예방 또한 포함&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;접근 제어, 메시지 인증 등으로 구현&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;&lt;br /&gt;가용성 (Availability)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정당한 권한을 가진 모든 사용자에게 정보 시스템을 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;제공&lt;/b&gt;&lt;/span&gt;&lt;br /&gt;권한이 있다면, 적시에 정보에 접근 및 변경이 가능해야 함&lt;br /&gt;데이터 백업, 중복성 유지, 물리 보호 등으로 구현&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;&lt;br /&gt;인증성 (Authentication)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;접근하는 객체를 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;확인&lt;/b&gt;&lt;/span&gt; 및 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;신뢰&lt;/b&gt;&lt;/span&gt; 가능&lt;br /&gt;즉, 객체의 행동에 대한 확신&lt;/p&gt;
&lt;h4 data-ke-size=&quot;size20&quot;&gt;&lt;br /&gt;책임추적성 (부인방지, Accountability)&lt;/h4&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;개체의 행동을 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;추적&lt;/b&gt;&lt;/span&gt;하여 기록 가능&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1247&quot; data-origin-height=&quot;2214&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/ss9K5/btsKxJUDnLl/KA4gPYQfIaoXreHYoBJoEK/img.jpg&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/ss9K5/btsKxJUDnLl/KA4gPYQfIaoXreHYoBJoEK/img.jpg&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/ss9K5/btsKxJUDnLl/KA4gPYQfIaoXreHYoBJoEK/img.jpg&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fss9K5%2FbtsKxJUDnLl%2FKA4gPYQfIaoXreHYoBJoEK%2Fimg.jpg&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;481&quot; height=&quot;854&quot; data-origin-width=&quot;1247&quot; data-origin-height=&quot;2214&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;</description>
      <category>보안 공부/정보보안기사</category>
      <category>오블완</category>
      <category>티스토리챌린지</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/125</guid>
      <comments>https://gate36.tistory.com/125#entry125comment</comments>
      <pubDate>Thu, 7 Nov 2024 00:08:44 +0900</pubDate>
    </item>
    <item>
      <title>금감원에서 무료로 배포중인 금융교재</title>
      <link>https://gate36.tistory.com/119</link>
      <description>&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot; data-ke-style=&quot;style13&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;&lt;b&gt; &lt;span&gt;&lt;span&gt;군대가있는 친구를 위한 금융 관련 글을 가져왔습니다.&lt;/span&gt;&lt;/span&gt;&lt;/b&gt;&lt;br /&gt;&lt;b&gt;&lt;span&gt;&lt;span&gt;해당 글은 &lt;a href=&quot;https://arca.live/b/singbung/113981247&quot; target=&quot;_blank&quot; rel=&quot;noopener&quot;&gt;유머게시판&lt;/a&gt;에서 가져왔음을 밝힘니다.&lt;/span&gt;&lt;/span&gt;&lt;/b&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;b&gt;&lt;span&gt;1. 대학생을 위한 실용금융&lt;/span&gt;&lt;/b&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;515&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/8iBV1/btsI5TLgpbl/oMukmjnqnqR0FyzsGejIU1/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/8iBV1/btsI5TLgpbl/oMukmjnqnqR0FyzsGejIU1/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/8iBV1/btsI5TLgpbl/oMukmjnqnqR0FyzsGejIU1/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F8iBV1%2FbtsI5TLgpbl%2FoMukmjnqnqR0FyzsGejIU1%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;659&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;515&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;대학생이나 사회초년생 대상 경제금융 공부 교재 1티어로 꼽히는 금융감독원의 대학생을 위한 실용금융입니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;올해 제4판이 나왔습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;500페이지가 넘는 분량&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;단순 돈관리를 넘어 금융투자, 신용, 대출, 보험까지 소개&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그다지 딱딱하지 않은 글&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;경제금융 기본 이론까지 알려주는 깊은 내용&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;대학생 이상인 사람이 실용적인 경제 금융에 관해 공부해보겠다고 하면 항상 추천해주는 책입니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;금감원에서 적극적으로 배포하는 교재라 대학생 때 경영대 건물에 가면 실물 책이 무료배포로 놓여있곤 했는데 그 때 읽고 도움이 많이 되었습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;궁금했었지만 직관적이지 않아서 이해하기 어려웠던 파생상품도 이 책 보고 이해했습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;물론 오징어게임 나가서 아 기훈이형! 하기 싫으면 함부로 파생상품 건들지 말라는 것도 배웠습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/view.do?menuNo=300018&amp;amp;check=2&amp;amp;contentsSlno=688&amp;amp;pageIndex=&amp;amp;search=&amp;amp;searchWrd=&amp;amp;certYn=&amp;amp;order=regDt&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/view.do?menuNo=300018&amp;amp;check=2&amp;amp;contentsSlno=688&amp;amp;pageIndex=&amp;amp;search=&amp;amp;searchWrd=&amp;amp;certYn=&amp;amp;order=regDt&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;b&gt;&lt;span&gt;2. 대학생 책이라 너무 어려워&amp;nbsp;&lt;/span&gt;&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;537&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/cimdBs/btsI6Np4aYY/hHIeeKOyB8LvOSTbihHWlk/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/cimdBs/btsI6Np4aYY/hHIeeKOyB8LvOSTbihHWlk/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/cimdBs/btsI6Np4aYY/hHIeeKOyB8LvOSTbihHWlk/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcimdBs%2FbtsI6Np4aYY%2FhHIeeKOyB8LvOSTbihHWlk%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;687&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;537&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;초, 중, 고등학생, 어르신 등 독자 연령대에 맞춘 교재로 따로 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;대학생을 위한 생활금융이 가장 어렵고 이 교재들은 연령대에 맞춰 쉽게 쓰여졌습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;물론 깊이는 얕아지지만 그만큼 쉽게 이해할 수 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%83%9D%ED%99%9C%EA%B8%88%EC%9C%B5&amp;amp;search=title&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%83%9D%ED%99%9C%EA%B8%88%EC%9C%B5&amp;amp;search=title&lt;/a&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;br /&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;b&gt;&lt;span&gt;3. 각잡고 공부할 시간이 없어. 당장 돈관리를 해야해 &amp;nbsp;&lt;/span&gt;&lt;/b&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;658&quot; data-origin-height=&quot;690&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/c6Y6q0/btsI6Skq2QT/sSnKfWEnO8ptFrmx2jjyu0/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/c6Y6q0/btsI6Skq2QT/sSnKfWEnO8ptFrmx2jjyu0/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/c6Y6q0/btsI6Skq2QT/sSnKfWEnO8ptFrmx2jjyu0/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fc6Y6q0%2FbtsI6Skq2QT%2FsSnKfWEnO8ptFrmx2jjyu0%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;658&quot; height=&quot;690&quot; data-origin-width=&quot;658&quot; data-origin-height=&quot;690&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;548&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/QdmRt/btsI6k2WAEH/ylZqUGNnGegCqZRjjrU2z0/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/QdmRt/btsI6k2WAEH/ylZqUGNnGegCqZRjjrU2z0/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/QdmRt/btsI6k2WAEH/ylZqUGNnGegCqZRjjrU2z0/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FQdmRt%2FbtsI6k2WAEH%2FylZqUGNnGegCqZRjjrU2z0%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;701&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;548&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;제대로 경제금융 공부하기는 어려운 사람들을 위해 당장의 행동지침을 알려주는 가이드북도 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;자신이 사회초년생인데 경제금융 교육을 배워본적 없다, 이것부터 읽고 시작하세요.&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/view.do?menuNo=300018&amp;amp;contentsSlno=145&amp;amp;check=2&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/view.do?menuNo=300018&amp;amp;contentsSlno=145&amp;amp;check=2&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;span&gt;&lt;b&gt;4. 내가 부딪히고 있는 문제들을 해결하고 싶어&amp;nbsp;&lt;/b&gt;&lt;/span&gt;&lt;span&gt;&amp;nbsp;&lt;/span&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;521&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bUx7Dp/btsI6x11kEJ/eaPZUz1hNIKOTvc3DOlaZ0/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bUx7Dp/btsI6x11kEJ/eaPZUz1hNIKOTvc3DOlaZ0/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bUx7Dp/btsI6x11kEJ/eaPZUz1hNIKOTvc3DOlaZ0/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbUx7Dp%2FbtsI6x11kEJ%2FeaPZUz1hNIKOTvc3DOlaZ0%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;667&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;521&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;생애주기별로 주로 마주하게 되는 경제금융 문제들을 별도로 해설하는 가이드북도 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그 나이대에 주로 발생하는 경제금융 문제를 따로 선별해서 소개하고 기본적인 대처 방법도 알려줍니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;511&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/sq6cg/btsI78GnEHl/oQQlK1rTW0RSPBWwAv2Nx1/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/sq6cg/btsI78GnEHl/oQQlK1rTW0RSPBWwAv2Nx1/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/sq6cg/btsI78GnEHl/oQQlK1rTW0RSPBWwAv2Nx1/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fsq6cg%2FbtsI78GnEHl%2FoQQlK1rTW0RSPBWwAv2Nx1%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;654&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;511&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;책 읽을 시간 없다는 사람들을 위해 오디오북도 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;대중교통 이용중이거나 이동할때 들으면 좋아요.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%83%9D%EC%95%A0%EC%A3%BC%EA%B8%B0%EB%B3%84&amp;amp;search=title&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%83%9D%EC%95%A0%EC%A3%BC%EA%B8%B0%EB%B3%84&amp;amp;search=title&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;b&gt;&lt;span&gt;5. 경제금융 교육을 안 하니까 사기를 당하지&lt;/span&gt;&lt;/b&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;750&quot; data-origin-height=&quot;1275&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bIgvkN/btsI7j2Vq1H/stkWxopfk5ebE6gnZuZRNK/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bIgvkN/btsI7j2Vq1H/stkWxopfk5ebE6gnZuZRNK/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bIgvkN/btsI7j2Vq1H/stkWxopfk5ebE6gnZuZRNK/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbIgvkN%2FbtsI7j2Vq1H%2FstkWxopfk5ebE6gnZuZRNK%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;750&quot; height=&quot;1275&quot; data-origin-width=&quot;750&quot; data-origin-height=&quot;1275&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;금융사기 예방을 위해 적극적으로 자료를 배포하고 있습니다&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이런 금융사기는 말도 안 되는 수익 보겠다고 뛰어들었다가 돈 잃고 금융사기 공범도 되는 일이 부지기수인데 그런 일 생기기 전에 예방하는 게 좋습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;각종 금융사기의 유형과 수법, 기본적인 대응 방법을 소개합니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?check=2&amp;amp;menuNo=300018&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?check=2&amp;amp;menuNo=300018&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;span&gt;&lt;b&gt;&lt;br /&gt;6. 책만봐도 멀미가 나서 책은 못 읽겠어&lt;/b&gt;&lt;/span&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;677&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/QlKbl/btsI7GDskuk/x2a9ELSFBTJjgQ6kPxk730/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/QlKbl/btsI7GDskuk/x2a9ELSFBTJjgQ6kPxk730/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/QlKbl/btsI7GDskuk/x2a9ELSFBTJjgQ6kPxk730/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FQlKbl%2FbtsI7GDskuk%2Fx2a9ELSFBTJjgQ6kPxk730%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1185&quot; height=&quot;802&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;677&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;동영상으로도 각종 강좌를 제공하고 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;또, 동영상이 강사가 나와서 썰풀듯 얘기하는 경우가 많은만큼 교재에 비해 비교적 실전 투자와 금융거래에 관한 얘기가 많이 나옵니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?check=1&amp;amp;menuNo=300017&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?check=1&amp;amp;menuNo=300017&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;span&gt;&lt;b&gt;&lt;br /&gt;7. 난 외국인이야&lt;/b&gt;&lt;/span&gt;&lt;span&gt;&amp;nbsp;&lt;/span&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;span&gt;&amp;nbsp;&lt;/span&gt;&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;529&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/Lcn7q/btsI77AHpL9/QZp9T1BCOyYROg4KS8k1J0/img.webp&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/Lcn7q/btsI77AHpL9/QZp9T1BCOyYROg4KS8k1J0/img.webp&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/Lcn7q/btsI77AHpL9/QZp9T1BCOyYROg4KS8k1J0/img.webp&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FLcn7q%2FbtsI77AHpL9%2FQZp9T1BCOyYROg4KS8k1J0%2Fimg.webp&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1280&quot; height=&quot;677&quot; data-origin-width=&quot;1000&quot; data-origin-height=&quot;529&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;외국인도 이 글을 보고 있을진 모르겠는데, 금융감독원은 외국인을 위한 각 언어 가이드북도 발행합니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;외국인 근로자나 다문화 가정을 위한 것입니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그 나라의 글을 잘 모르는 사람은 원래 사기를 당하거나 손해보는 일이 많습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정보의 기초는 글을 읽는 것인데 그것이 안 되니 자신이 받을 수 있는 것에 관해서도 어둡고 적극적으로 금융거래를 하기도 어렵습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그런 사람들을 위해 외국인용 가이드북도 있습니다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;동영상 : &lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?menuNo=300017&amp;amp;contentsSlno=&amp;amp;check=1&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%99%B8%EA%B5%AD%EC%9D%B8&amp;amp;search=title&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contUserList.do?menuNo=300017&amp;amp;contentsSlno=&amp;amp;check=1&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=%EC%99%B8%EA%B5%AD%EC%9D%B8&amp;amp;search=title&lt;/a&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;가이드북 : &lt;a href=&quot;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;contentsSlno=&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=financial+guide+book&amp;amp;search=title&quot;&gt;https://www.fss.or.kr/edu/fec/contMng/contSearch.do?menuNo=300016&amp;amp;contentsSlno=&amp;amp;check=&amp;amp;AllmakeTypeCode=on&amp;amp;AlleduTrgtCode=&amp;amp;AlleduCntntLrgClsfcCode=on&amp;amp;AllfncEngnCode=on&amp;amp;AllcertYn=&amp;amp;searchWrd=financial+guide+book&amp;amp;search=title&lt;/a&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;추가 : 한국은행에서 발간한&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;- 알기 쉬운 경제 이야기&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.bok.or.kr/portal/bbs/B0000249/view.do?nttId=10061816&amp;amp;menuNo=200765&quot;&gt;https://www.bok.or.kr/portal/bbs/B0000249/view.do?nttId=10061816&amp;amp;menuNo=200765&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;- 경제 금융용어 700&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.bok.or.kr/portal/bbs/B0000249/view.do?nttId=235017&amp;amp;menuNo=200765&quot;&gt;https://www.bok.or.kr/portal/bbs/B0000249/view.do?nttId=235017&amp;amp;menuNo=200765&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;- 한국의 통화정책&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&lt;a href=&quot;https://www.bok.or.kr/portal/bbs/P0000602/view.do?nttId=234114&amp;amp;menuNo=200459&quot;&gt;https://www.bok.or.kr/portal/bbs/P0000602/view.do?nttId=234114&amp;amp;menuNo=200459&lt;/a&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;도 유용하다고 함&lt;/p&gt;</description>
      <category>휴지통</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/119</guid>
      <comments>https://gate36.tistory.com/119#entry119comment</comments>
      <pubDate>Sat, 17 Aug 2024 20:57:15 +0900</pubDate>
    </item>
    <item>
      <title>PE 파일 악성 식별</title>
      <link>https://gate36.tistory.com/117</link>
      <description>&lt;h3 data-ke-size=&quot;size23&quot;&gt;PE 파일의 악성 및 비정상 여부 식별 전략&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;섹션의 엔트로피 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;패킹 되었거나 암호화된 영역이 있는 실행 파일은 악성코드일 가능성이 상대적으로 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;원본의 악성 파일을 압축 및 암호화하여 대상이 되는 실행파일의 섹션 부분에 데이터를 주입하는 방식으로 숨기는 것이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이를 확인하는 방법은 세션의 엔트로피를 조사하면 되는데, 이 값이 7 이상인 경우 패킹 및 암호화된 것으로 판단한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 조사는 엔트로피 값을 계산할 수 있는 툴(PEScanner, PE Studio 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;엔트리 포인트 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;일반적인 경우, 엔트리 포인트가 첫번째 섹션에 속하며, &quot;.text&quot;, &quot;.code&quot;등의 이름을 가진다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 섹션 외, 즉 첫번째 섹션에 엔트리포인트가 속하지 않는 경우 악성일 가능성이 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;CRC Checksum 값 검사&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;CRC(Cyclic Redundancy Checking)는 순환중복검사라고도 불리며, 실행 파일을 일정 비트 별로 검사하여 체크섬 값을 계산하기 위해 사용되는 방법이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 방식은 원본 데이터 손실 검사 및 악성코드 탐지 등 다양한 방면으로 사용되는 방식으로, 이를 응용한 'CRC 체크섬 값 비교 방식'은 여러 우회 기법들을 효과적으로 판별하는 방법 중 하나다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;특히 이 방식은 다형성을 가진 악성코드를 검사하는데 효과적인데, 이는 다형성이 높은 악성코드의 특징 때문이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다형성이 있는 악성코드는 시그니처 기준이 되는 특정 문자열이나 코드들을 지속적으로 변경하여 자가복제하는 형태인데, 파일 전체의 체크섬 값 변화가 발생하기 때문이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서 정교하지 않은 악성코드는 변경된 체크섬 값을 실행파일 헤더에 다시 적용시키지 않으면 생성 시점의 체크섬 값과 달라져 곧바로 감지되게 된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 PE파일의 Checksum 값을 대조해주는 도구(PEScanner 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;버전 및 설명 정보 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;버전 및 설명 정보가 없는 실행 파일의 경우 악성코드일 가능성이 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;일반적인 실행 파일은 관리를 위해 리소스 섹션(.rsrc) 내부에 파일의 버전, 벤더, 설명 정보가 포함되어 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성코드는 실행 파일을 관리할 필요도 없고, 자동화 도구를 이용하여 생성했기 때문에 해당 정보들이 누락되어 있거나 제대로 담겨져 있지 않은 경우가 많다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;물론, 이러한 이유로 반드시 악성코드라고 할 수는 없지만, 해당 정보가 없는 실행파일의 경우 일단 의심 후 확인할 필요가 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 PE파일의 리소스 정보를 보여주는 도구들(CFF Explorer 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;임포트한 API 목록 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성코드는 기능을 수행하기 위해 운영체제에서 제공하는 API 집합을 사용한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서, 악성코드가 많이 사용하는 API로 분류된 집합(dangerous API)를 임포트하는 실행파일은 악성일 가능성이 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다만 해당 방식이 단순히 API 함수만을 보고 탐지하는 것이기에, 너무 일반적인 API 함수를 탐지하는 경우 오탐이 발생할 가능성이 높아 주의가 필요하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 임포트 정보를 나열해주는 도구들(각종 PE 파일 파싱 도구, IDA 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;API 해시 사용여부 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성코드는 기능 수행을 위해 운영체제에서 제공한느 API 집합을 사용한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;상기 설명한 API 목록 기반 분석을 회피하거나, 파일 사이즈를 줄이기 위해 API/라이브러리 함수 문자열의 해시값을 이용하는 방식으로 이를 구현한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 방식을 사용하는 경우, API/라이브러리 함수 문자열이 해시화 되어 있어 문자열로 탐지가 불가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;때문에 해당 방식을 감지하기 위해선, 해시 함수를 이용하여 미리 계산된 API 해시와 일치 여부를 확인한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;혹은, API 이름이 아닌 API 해시를 이용하여 동적 바인딩을 시도하는 실행 파일은 악성 파일일 가능성이 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 API 해시 패턴 매칭을 이용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;실행파일 포함 여부&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성코드를 drop하는 악성코드의 경우 내부에 실행파일 자체를 포함하고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서, 내부에 다른 실행파일을 포함하고 있다면 비정상으로 판단 후 확인이 필요하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 실행파일 시그니처를 검색하거나, 이미지를 추출해주는 도구들(YARA, PE Carver 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;배치 스크립트 포함 여부&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;내부에 배치 스크립트(.BAT)를 포함하고 있는 경우, 악성일 가능성이 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 배치 스크립트는 전역변수 영역에 정의되어 있거나, 리소스 섹션 내에 임베드 되어 있을 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 문자열 분석도구(Strings, IDA 등), 리소스 섹션 내의 내용을 볼 수 있는 도구(CFF Explorer 등)을 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;서명 정보 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정상적으로 만들어진 파일은 마이크로소프트 서명 정책(&quot;PE Authenticode&quot;)에 따라 개발자에 의해 생성된 서명정보가 임베드 되어 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 서명정보는 PKCS#7을 기반으로 하는 공개키 기반 구조를 가지며, 윈도우 운영체제는 해당 자료구조에 따라 신뢰성을 검증하여 실행여부를 결정한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성 실행파일은 개발자의 서명정보가 없을 가능성이 높으며, 이런 이유로 서명 정보가 없다면 악성 실행파일임을 의심할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 검사는 서명정보 분석 도구(Sysinternals Suites의 sigcheck 등)를 사용하여 확인 가능하다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;PE 파일의 악성 및 비정상 여부 식별 실습&lt;/h3&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 과정은 KISA에서 파일을 제공받아 실습을 진행하였다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;582&quot; data-origin-height=&quot;446&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/n5MSr/btsIJZqO4VV/U66Q5MBZJMSoJxT9vwTQg1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/n5MSr/btsIJZqO4VV/U66Q5MBZJMSoJxT9vwTQg1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/n5MSr/btsIJZqO4VV/U66Q5MBZJMSoJxT9vwTQg1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fn5MSr%2FbtsIJZqO4VV%2FU66Q5MBZJMSoJxT9vwTQg1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;582&quot; height=&quot;446&quot; data-origin-width=&quot;582&quot; data-origin-height=&quot;446&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;일단, 가장 간단하게 확인할 수 있는 서명정보를 확인해본다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;서명 정보가 없는 파일은 의심할 수 있는 파일이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Sigcheck를 확인하여 서명 정보를 확인하면 다양한 파일들의 서명 정보가 나온다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;서명 정보의 유무는 Verified 필드를 보면 된다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;471&quot; data-origin-height=&quot;319&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bNmHfW/btsIJs1bE90/jkdfNgOYSv6uW9Uh1aZpHk/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bNmHfW/btsIJs1bE90/jkdfNgOYSv6uW9Uh1aZpHk/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bNmHfW/btsIJs1bE90/jkdfNgOYSv6uW9Uh1aZpHk/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbNmHfW%2FbtsIJs1bE90%2FjkdfNgOYSv6uW9Uh1aZpHk%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;471&quot; height=&quot;319&quot; data-origin-width=&quot;471&quot; data-origin-height=&quot;319&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;477&quot; data-origin-height=&quot;193&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/biuuUE/btsIKS5zYDS/HBp3e17dmH8yOfisMuVOs0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/biuuUE/btsIKS5zYDS/HBp3e17dmH8yOfisMuVOs0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/biuuUE/btsIKS5zYDS/HBp3e17dmH8yOfisMuVOs0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbiuuUE%2FbtsIKS5zYDS%2FHBp3e17dmH8yOfisMuVOs0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;477&quot; height=&quot;193&quot; data-origin-width=&quot;477&quot; data-origin-height=&quot;193&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;서명 정보가 없는 파일은 Unsigned로 되어있으나, 확실하게 서명된 파일은 Signed로 되어있는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;확인 결과, malware로 시작하는 10개의 파일 전부 서명이 되어 있지 않은 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다음 확인은 엔트리 포인트를 분석한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;분석에는 StudPE 프로그램을 사용하여 정상 및 악성 파일을 확인한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그 갯수가 많기에, 정상 파일과 비정상 파일을 하나씩 비교해본다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;475&quot; data-origin-height=&quot;342&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bVwKQr/btsILRrlfxY/A5kq5yxw45yawvhFsVrcF0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bVwKQr/btsILRrlfxY/A5kq5yxw45yawvhFsVrcF0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bVwKQr/btsILRrlfxY/A5kq5yxw45yawvhFsVrcF0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbVwKQr%2FbtsILRrlfxY%2FA5kq5yxw45yawvhFsVrcF0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;475&quot; height=&quot;342&quot; data-origin-width=&quot;475&quot; data-origin-height=&quot;342&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;475&quot; data-origin-height=&quot;342&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/dHRVPZ/btsILlsNFzQ/TVaGjlxinUCTLDbS6g6RAk/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/dHRVPZ/btsILlsNFzQ/TVaGjlxinUCTLDbS6g6RAk/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/dHRVPZ/btsILlsNFzQ/TVaGjlxinUCTLDbS6g6RAk/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FdHRVPZ%2FbtsILlsNFzQ%2FTVaGjlxinUCTLDbS6g6RAk%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;475&quot; height=&quot;342&quot; data-origin-width=&quot;475&quot; data-origin-height=&quot;342&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;위는 일반 계산기 프로그램, 아래는 악성 프로그램을 StudPE 프로그램으로 실행시킨 것이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;StudPE 프로그램의 섹션 탭을 확인하면, 엔트리 포인트와 섹션을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정상 프로그램의 섹션은 .text로 시작하여 정상적인 섹션 타입을 보이는 반면,&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성 프로그램의 섹션은 UPX1로 시작하여 비정상적인 섹션 타입을 보인다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다음으로는 임포트한 API 목록을 분석한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 분석에는 PE Studio 툴을 이용하여 악성 파일을 열람해본다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;936&quot; data-origin-height=&quot;287&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/cEQgGK/btsIKffUTle/GE5P91Ir7dU0mMHnz5Z8Ak/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/cEQgGK/btsIKffUTle/GE5P91Ir7dU0mMHnz5Z8Ak/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/cEQgGK/btsIKffUTle/GE5P91Ir7dU0mMHnz5Z8Ak/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcEQgGK%2FbtsIKffUTle%2FGE5P91Ir7dU0mMHnz5Z8Ak%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;936&quot; height=&quot;287&quot; data-origin-width=&quot;936&quot; data-origin-height=&quot;287&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;548&quot; data-origin-height=&quot;329&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/vJR2j/btsIKDt4bEv/MMKUsQ2dMGaUYY8rkET5f1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/vJR2j/btsIKDt4bEv/MMKUsQ2dMGaUYY8rkET5f1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/vJR2j/btsIKDt4bEv/MMKUsQ2dMGaUYY8rkET5f1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FvJR2j%2FbtsIKDt4bEv%2FMMKUsQ2dMGaUYY8rkET5f1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;548&quot; height=&quot;329&quot; data-origin-width=&quot;548&quot; data-origin-height=&quot;329&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE Studio를 이용하여 파일을 분석하면 정말 다양한 결과를 알려준다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;여기서, libraries 탭을 확인하면 참조하고 있는 dll 파일의 목록을 보여준다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;또, imports 탭을 확인하면 사용하고 있는 API 목록을 보여준다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE Studio를 확인하면, 악성 행위에서 많이 사용하는 참조 목록을 flag로 표시해주는것을 확인할 수 있으며, 이를 통해 의심 여부를 판단한 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;API 해시 사용여부 또한 분석해본다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 분석에는 유용한 시그니처 검색 도구인 YARA를 사용한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;원할한 테스트를 위해, 악성 프로그램이 많이 사용하는 ROR13 알고리즘으로만 검색한다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;947&quot; data-origin-height=&quot;280&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/skIRJ/btsILGcor7f/wIaRXnlRAfEx29ECjwjDS1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/skIRJ/btsILGcor7f/wIaRXnlRAfEx29ECjwjDS1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/skIRJ/btsILGcor7f/wIaRXnlRAfEx29ECjwjDS1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FskIRJ%2FbtsILGcor7f%2FwIaRXnlRAfEx29ECjwjDS1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;947&quot; height=&quot;280&quot; data-origin-width=&quot;947&quot; data-origin-height=&quot;280&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그럼 이렇게 API 해시에 매칭된 패턴이 상당 수 발견되는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;마지막으로 실행파일 포함 여부를 확인해본다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 분석에는 CFF Explorer툴을 사용하여 악성 파일을 열람할 것이다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;587&quot; data-origin-height=&quot;311&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bVaNhM/btsIKCIHxF9/vC8VEH3UP1luHHygRRXKVK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bVaNhM/btsIKCIHxF9/vC8VEH3UP1luHHygRRXKVK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bVaNhM/btsIKCIHxF9/vC8VEH3UP1luHHygRRXKVK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbVaNhM%2FbtsIKCIHxF9%2FvC8VEH3UP1luHHygRRXKVK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;587&quot; height=&quot;311&quot; data-origin-width=&quot;587&quot; data-origin-height=&quot;311&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;584&quot; data-origin-height=&quot;296&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/K222a/btsIKeVBntY/uISxO1rtTv3eZ7xTA9oJ90/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/K222a/btsIKeVBntY/uISxO1rtTv3eZ7xTA9oJ90/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/K222a/btsIKeVBntY/uISxO1rtTv3eZ7xTA9oJ90/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FK222a%2FbtsIKeVBntY%2FuISxO1rtTv3eZ7xTA9oJ90%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;584&quot; height=&quot;296&quot; data-origin-width=&quot;584&quot; data-origin-height=&quot;296&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;CFF Explorer 툴의 Resource Editor 탭을 확인하면 숨어있는 악성 파일을 열람할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 내용을 확인하면, 실행 파일의 시그니처인 MZ로 시작하는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서 이 파일은 의도적인 파일 삽입이 있으며, 더욱 자세한 내용을 분석하려면 해당 내용을 복사 후 프로그램으로 다시 만들어 분석해야한다.&lt;/p&gt;</description>
      <category>KISA 사이버 보안 훈련/멀웨어 식별</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/117</guid>
      <comments>https://gate36.tistory.com/117#entry117comment</comments>
      <pubDate>Tue, 23 Jul 2024 21:44:03 +0900</pubDate>
    </item>
    <item>
      <title>PE 파일 개론</title>
      <link>https://gate36.tistory.com/116</link>
      <description>&lt;h3 data-ke-size=&quot;size23&quot;&gt;PE 파일의 주요 자료구조&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;PE의 개괄적 구조와 실행 전후 변화&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE 파일, 즉 PE-COFF 파일은 EXE, DLL, SYS 확장자를 가진 파일의 포멧이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;파일 확장자에서도 알 수 있듯, 윈도우 운영체제에서 주로 사용되는 파일들의 파일 형식이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;때문에, 주로 동적 라이브러리 정보, API Import/Export 정보, 실행 관련 코드, 실행 관련 리소스 정보 등을 구조화하고 관리하는 목적으로 쓰인다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE 파일은 실행 전과 실행 후의 차이가 거이 없으며, 가상메모리에 매핑된 후에도 레이아웃에 큰 변화가 없는 것이 특징이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE 파일은 하나의 헤더와 여러개의 섹션으로 이루어진 형태를 띤다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;섹션은 딱히 정해진 갯수가 없다. 파일이 필요로 하는 데이터들의 분류가 많으면 많을수록 섹션은 늘어난다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;667&quot; data-origin-height=&quot;736&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bC7Eno/btsIJUoxrep/kLyhAEamsk6ol8nVik5AR0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bC7Eno/btsIJUoxrep/kLyhAEamsk6ol8nVik5AR0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bC7Eno/btsIJUoxrep/kLyhAEamsk6ol8nVik5AR0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbC7Eno%2FbtsIJUoxrep%2FkLyhAEamsk6ol8nVik5AR0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;667&quot; height=&quot;736&quot; data-origin-width=&quot;667&quot; data-origin-height=&quot;736&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;크게 중요한 내용만 확인하면 다음과 같다.&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;ImageBase: 헤더에 존재. 해당 PE파일이 메모리에서 매핑되는 시작 주소.&lt;/li&gt;
&lt;li&gt;AddressOfEntryPoint: 헤더에 존재. PE파일이 매핑된 이후 가장 먼저 실행될 코드 위치값.&lt;/li&gt;
&lt;li&gt;&quot;.text&quot; 섹션: 컴파일 된 기계어 코드가 모여있는 섹션. 즉, 바이너리 값이 들어있음.&lt;/li&gt;
&lt;li&gt;&quot;.data&quot; 섹션: 식별 가능한 전역 변수, 즉 문자열이 모여있는 섹션.&lt;/li&gt;
&lt;li&gt;&quot;.idata&quot; 섹션: DLL 이름 및 API 이름이 기록되어 있는 섹션. 보통 EXE 파일 내에 존재하며, 섹션의 내용으로 해당 실행파일의 기능을 추측할 수 있는 특징이 있음.&lt;/li&gt;
&lt;li&gt;Padding: 파일과 메모리의 시작지점, Alignment가 다른 경우 디스크 -&amp;gt; 메모리로 옮겼을 때 사이즈가 다를 수 있다. 이를 대비하기 위한 여유 공간.&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;운영체제를 공부했다면 알고 있는 내용이지만, 운영체제는 페이지(Page)라는 가상 메모리에서의 공간 단위로 관리한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE 파일이 실행되면 해당 페이지에 로드되어 파일이 실행되는데, 보통 다음의 과정을 거친다.&lt;/p&gt;
&lt;ol style=&quot;list-style-type: decimal;&quot; data-ke-list-type=&quot;decimal&quot;&gt;
&lt;li&gt;PE 파일의 헤더가 먼저 읽힌다. 헤더에는 섹션에 대한 각종 정보가 담겨있는데, 이를 섹션 테이블이라고 하며 테이블을 기준으로 운영체제가 파일의 정보를 파악, 다음 페이지부터 섹션을 저장한다. &lt;br /&gt;해당 페이지는 오직 읽기(r)권한만 부여된다.&lt;/li&gt;
&lt;li&gt;가장 먼저 .text 섹션이 페이지에 매핑된다. 해당 섹션은 실행 코드가 바이너리, 즉 기계어로 저장된 섹션이므로 코드가 직접적으로 실행될 페이지다. &lt;br /&gt;따라서, 해당 페이지는 읽기(r)와 실행(x)권한이 부여된다.&lt;/li&gt;
&lt;li&gt;두번째로는 .data 섹션이 그다음 페이지에 매핑된다. 해당 섹션은 실행하는 데이터는 아니지만, 전역 변수의 값이 저장되어 있기 때문에 실행에 필요한 주요 값을 담은 페이지가 된다.&lt;br /&gt;따라서, 해당 페이지는 읽기(r)와 쓰기(w)권한이 부여된다.&lt;/li&gt;
&lt;li&gt;마지막으로 .idata 섹션이 그다음 페이지에 매핑된다. API, DLL 이름이 담겨지는 섹션으로, 통상적으로 실행할 때 참조용으로 많이 사용되는 페이지다. 그러나 실행에 있어 함수의 주소 변화등의 이유로, 메모리에 매핑될 시 구조가 달라지는 경우가 있다. 즉, 디스크에서 메모리로 매핑될 시 섹션의 값이 조금 변형될 수 있는 페이지다.&lt;br /&gt;따라서, 해당 페이지는 읽기(r)와 쓰기(w)권한이 부여된다.&lt;/li&gt;
&lt;/ol&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;PE 헤더&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;PE 헤더는 IMAGE_NT_HEADER의 구조를 하고 있으며, 크게 3부분으로 나뉜다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Signature PE는 해당 헤더의 시작임을 알리는 문자열로, 시그니처인 &quot;PE00&quot; 문자열로 시작된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;IMAGE_FILE_HEADER는 파일의 실행 가능 여부 및 다른 중요한 속성을 나타내는 곳이다. 쉽게말해, 파일의 기본 속성을 정의하고 실행 가능 여부를 확인하는 곳이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;IMAGE_OPTIONAL_HEADER는 이미지를 메모리에 올릴 때 중요한 정보를 담고 있다. 가상 주소 공간에 올릴 공간 및 코드 실행 위치 등 메모리 매핑 및 파일 실행과 관련된 중요한 정보를 담고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;IMAGE_OPTIONAL_HEADER에서 중요한 요소들을 몇 가지 꼽으면 다음과 같다.&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;ImageBase: 실행 파일이 로드될 가상 주소공간의 주소&lt;/li&gt;
&lt;li&gt;AddressOfEntryPoint: 메모리에 로드된 후 가장 먼저 실행될 코드의 위치&lt;/li&gt;
&lt;li&gt;FileAlignment: PE 파일의 주요 요소들의 주소 시작 위치 결정&lt;/li&gt;
&lt;li&gt;SectionAlignment: 메모리 상에서 각 섹션의 정렬 단위&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;섹션 테이블&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;섹션 테이블은 파일의 데이터 섹션을 설명하는 메타데이터를 포함하는 섹션이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;섹션 헤더라고도 불리며, 전체 PE 파일의 섹션에 대한 정보를 포함하고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;통상적으로 섹션 테이블은 PE 헤더 바로 뒤에 위치하고 있으며, 각 섹션에 대해 여러 정보를 제공한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이를테면, 각 섹션의 이름, 크기 및 시작위치 등의 정보를 제공하며, 메모리에 로드할 때 섹션을 직접 제공하지 않고도 필요한 정보를 탐색할 수 있게 도와주는 역할을 한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이를 통해 실행 파일이 올바르게 동작할 수 있도록 보조해주며, 로더는 이 섹션 테이블을 바탕으로 코드 실행 및 데이터 접근이 가능하게 된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;섹션 테이블에서 중요한 요소들을 몇 가지 꼽으면 다음과 같다.&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;VirtualAddress: 섹션의 메모리 내 가상 주소. PE 파일이 로드된 후 섹션이 메모리 내에서 시작되는 위치를 의미한다.&lt;/li&gt;
&lt;li&gt;PointerToRawData: 파일 내 섹션 데이터의 시작 위치를 바이트 단위 오프셋으로 표현&lt;/li&gt;
&lt;li&gt;Characteristics: 섹션의 속성을 나타내는 플래그. 예를 들어, 섹션이 읽기, 쓰기, 실행 가능한지 여부를 나타낸다.&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;</description>
      <category>KISA 사이버 보안 훈련/멀웨어 식별</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/116</guid>
      <comments>https://gate36.tistory.com/116#entry116comment</comments>
      <pubDate>Tue, 23 Jul 2024 14:50:57 +0900</pubDate>
    </item>
    <item>
      <title>악성 오피스 문서 식별</title>
      <link>https://gate36.tistory.com/115</link>
      <description>&lt;h3 data-ke-size=&quot;size23&quot;&gt;악성 문서 분석 절차&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;트리아지&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정상 Office 문서와 악성 Office 문서를 식별, 분류하는 작업을 의미한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;침해사고가 발생한 PC 환경에는 단순이 악성 문서만 존재하는 것이 아닌, 정상 문서와 섞여있는 경우가 대부분이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;때문에, 서로 섞여있는 문서들 속에서 악성 문서만을 식별하는 작업을 우선적으로 실행해야 분석 할 준비가 된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 과정에는 Office 파일 내에서 VBA 코드, DDE/DDEAUTO 명령어, 쉘 코드, OLE 객체 포함 여부를 확인하는 형식으로 악성 여부를 확인한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;물론 이걸 수동으로 하면 시간이 상당히 오래 소모되므로, 여러 도구를 사용하여 이를 분류한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;악성 스크립트/명령어 확보&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성 문서 안에 있는 VBA 코드 혹은 스크립트의 위치를 파악하고 추출하는 작업이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;단순히 추출에서만 끝나는 것이 아닌, 분석까지 하여 어떤 식으로 침투하였는지를 분석하는 과정까지가 이 작업의 끝이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;만약 난독화되어 있는 경우, 난독화를 해제하여 분석이 용이하도록 조치한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;악성 개체 분석&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;시스템 상에 생성하거나 실행하는 파일, 추가로 다운로드 하는 파일, 악성코드 배포 서버의 도메인 등을 확인하는 작업이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;코드 분석 과정에서 추가로 식별된 VBA 스크립트, 파워 쉘 스크립트, 실행 파일, 쉘 코드를 분석한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;추가로, 악성코드 배포용 C2C 서버로부터 다운로드 되는 데이터가 있는 경우, 확보 후 추가 분석까지 진행한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;악성 Office 문서의 이상 징후&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;쉘 코드 포함 여부&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;오피스 프로그램 자체의 취약점을 공격한 후 임의로 메모리 상에 쉘 코드를 매핑, 실행하는 경우다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 경우, 공격자는 한정된 크기로 원하는 동작을 해야하기 때문에, 쉘 코드의 머신 코드 일부분은 패턴 매칭 될 가능성이 상당히 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;매크로 포함 여부&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;매크로는 MS 오피스에서 제공하는 기본 기능으로, 업무 자동화를 위해 사용될 수 있으나 악성 행위에도 자주 활용되는 특성이 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이러한 이유로 매크로를 포함하고 있는 문서는 악성 행위를 할 가능성이 있는 문서라고 할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;중요한 점은, 매크로가 있다고 반드시 악성 파일은 아니라는 점을 확실히 알아야 한다는 것이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;DDE/DDEAUTO 포함 여부&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;DDE는 윈도우의 응용프로그램 간 실시간 데이터 공유를 위해 고안된 기술로, 일련의 명령을 실행할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 DDE는 Office 프로그램 간 데이터 공유에 상당히 유용하며, 문서 작성에 도움이 된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;DDEAUTO 함수는 이 정보 동기화에 사용하는 용도다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;문제는 DDEAUTO 함수가 시스템에 기존 설치되어 있는 명령어를 실행할 수 있다는 점이며, 공격자는 이를 이용해 DDE로 악성 행위를 명령할 수 있는 허점이 존재한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;악성 Office 문서 식별 실습&lt;/h3&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;실습 과정에는 KISA에서 제공한 악성 Office Word 문서를 받아 진행하였다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;malicious-a1029767 문서를 분석해보자.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;415&quot; data-origin-height=&quot;199&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/batkk9/btsIJBCFEZj/5KJuaXnAADDJtUCkSKkx2k/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/batkk9/btsIJBCFEZj/5KJuaXnAADDJtUCkSKkx2k/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/batkk9/btsIJBCFEZj/5KJuaXnAADDJtUCkSKkx2k/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbatkk9%2FbtsIJBCFEZj%2F5KJuaXnAADDJtUCkSKkx2k%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;415&quot; height=&quot;199&quot; data-origin-width=&quot;415&quot; data-origin-height=&quot;199&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 파일의 포맷은 zip 파일로 압축되어 있음을 확인했다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;즉, 해당 문서는 OOXML 포맷으로 되어 있으며, 내부에 파일 구조가 존재함을 알 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;540&quot; data-origin-height=&quot;71&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/uJB5m/btsIHAkTJdi/YArgsybMnNrpHoo96TL9ik/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/uJB5m/btsIHAkTJdi/YArgsybMnNrpHoo96TL9ik/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/uJB5m/btsIHAkTJdi/YArgsybMnNrpHoo96TL9ik/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FuJB5m%2FbtsIHAkTJdi%2FYArgsybMnNrpHoo96TL9ik%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;540&quot; height=&quot;71&quot; data-origin-width=&quot;540&quot; data-origin-height=&quot;71&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Oledump를 이용하여 해당 파일을 분석한 결과, word/vbaProject.bin이 존재함을 확인할 수 있었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 존재로 인해, 해당 문서는 매크로가 존재하는 문서임을 알 수 있다.&lt;/p&gt;
&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;python [oledump.py PATH] -a -v [document PATH]&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;746&quot; data-origin-height=&quot;134&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/DtZMX/btsIIyGEcP5/uwFthLnCezUbbrKjYsCdNk/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/DtZMX/btsIIyGEcP5/uwFthLnCezUbbrKjYsCdNk/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/DtZMX/btsIIyGEcP5/uwFthLnCezUbbrKjYsCdNk/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FDtZMX%2FbtsIIyGEcP5%2FuwFthLnCezUbbrKjYsCdNk%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;746&quot; height=&quot;134&quot; data-origin-width=&quot;746&quot; data-origin-height=&quot;134&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;실제로, VBA 폴더 하위로 매크로가 있는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 문서는 OOXML 포맷이므로, 압축 해제를 통해 그 내용을 추출할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;임시 폴더를 하나 생성 후, 거기에 압축 해제를 한다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;536&quot; data-origin-height=&quot;192&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/njDPz/btsIH0p9KGi/8JkX4ZkzkKEvruUiWQGCX1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/njDPz/btsIH0p9KGi/8JkX4ZkzkKEvruUiWQGCX1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/njDPz/btsIH0p9KGi/8JkX4ZkzkKEvruUiWQGCX1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FnjDPz%2FbtsIH0p9KGi%2F8JkX4ZkzkKEvruUiWQGCX1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;536&quot; height=&quot;192&quot; data-origin-width=&quot;536&quot; data-origin-height=&quot;192&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;앞서 문서를 분석하였을 때, 매크로의 존재를 확인했었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;VBA 스크립트 위치로 이동하여 해당 매크로가 존재하는지 확인하고, 이에 해당하는 것을 알 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;746&quot; data-origin-height=&quot;116&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/wx8UI/btsIJXZPq5m/m7kBg1f2BkN8H6AsINreU1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/wx8UI/btsIJXZPq5m/m7kBg1f2BkN8H6AsINreU1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/wx8UI/btsIJXZPq5m/m7kBg1f2BkN8H6AsINreU1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fwx8UI%2FbtsIJXZPq5m%2Fm7kBg1f2BkN8H6AsINreU1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;746&quot; height=&quot;116&quot; data-origin-width=&quot;746&quot; data-origin-height=&quot;116&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 문서는 &lt;b&gt;악성 문서&lt;/b&gt;임을 확인할 수 있다.&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style3&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다른 문서를 확인해보자. malicious-ea677003.doc 문서다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;417&quot; data-origin-height=&quot;218&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/nHtzS/btsIJzyoCv2/EWuMaHhZbIUbR5t0jUm5L0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/nHtzS/btsIJzyoCv2/EWuMaHhZbIUbR5t0jUm5L0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/nHtzS/btsIJzyoCv2/EWuMaHhZbIUbR5t0jUm5L0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FnHtzS%2FbtsIJzyoCv2%2FEWuMaHhZbIUbR5t0jUm5L0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;417&quot; height=&quot;218&quot; data-origin-width=&quot;417&quot; data-origin-height=&quot;218&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 파일의 포맷은 zip 파일로 압축되어 있음을 확인했다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;즉, 해당 문서는 OOXML 포맷으로 되어 있으며, 내부에 파일 구조가 존재함을 알 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;531&quot; data-origin-height=&quot;44&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bab5Ez/btsIIg7m5qS/zEKuIlxhK2yAWhXwuwh26K/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bab5Ez/btsIIg7m5qS/zEKuIlxhK2yAWhXwuwh26K/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bab5Ez/btsIIg7m5qS/zEKuIlxhK2yAWhXwuwh26K/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbab5Ez%2FbtsIIg7m5qS%2FzEKuIlxhK2yAWhXwuwh26K%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;531&quot; height=&quot;44&quot; data-origin-width=&quot;531&quot; data-origin-height=&quot;44&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;Oledump를 이용하여 해당 파일을 분석한 결과, word/vbaProject.bin이 존재함을 확인할 수 있었다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이 존재로 인해, 해당 문서는 매크로가 존재하는 문서임을 알 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;731&quot; data-origin-height=&quot;208&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/yaZqs/btsIJJAL9z3/K2OH5Tu1NkAozy0fMWlJgk/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/yaZqs/btsIJJAL9z3/K2OH5Tu1NkAozy0fMWlJgk/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/yaZqs/btsIJJAL9z3/K2OH5Tu1NkAozy0fMWlJgk/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FyaZqs%2FbtsIJJAL9z3%2FK2OH5Tu1NkAozy0fMWlJgk%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;731&quot; height=&quot;208&quot; data-origin-width=&quot;731&quot; data-origin-height=&quot;208&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 문서는 &lt;b&gt;악성 문서&lt;/b&gt;임을 확인할 수 있다.&lt;/p&gt;
&lt;div class=&quot;notranslate&quot; style=&quot;all: initial;&quot;&gt;&amp;nbsp;&lt;/div&gt;</description>
      <category>KISA 사이버 보안 훈련/멀웨어 식별</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/115</guid>
      <comments>https://gate36.tistory.com/115#entry115comment</comments>
      <pubDate>Tue, 23 Jul 2024 11:08:59 +0900</pubDate>
    </item>
    <item>
      <title>악성 문서파일의 구성요소와 포맷</title>
      <link>https://gate36.tistory.com/114</link>
      <description>&lt;h3 data-ke-size=&quot;size23&quot;&gt;스피어 피싱 유형&lt;/h3&gt;
&lt;ul style=&quot;list-style-type: circle;&quot; data-ke-list-type=&quot;circle&quot;&gt;
&lt;li&gt;MS Office 문서&lt;/li&gt;
&lt;li&gt;PDF 문서&lt;/li&gt;
&lt;li&gt;HWP 문서&lt;/li&gt;
&lt;li&gt;RTF 문서&lt;/li&gt;
&lt;li&gt;압축 파일 (ZIP)&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;스피어 피싱을 보내는 목적은 피해자의 소프트웨어 취약점을 공격, 파일에 내장된 객체(쉘 코드, 스크립트, 익스플로잇, 실행파일 등)를 강제로 실행 시키기 위함이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;악성 문서파일의 일반적인 구성요소&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;익스플로잇&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;문서 파일을 처리하는 소프트웨어 (MS Office, 한컴 Office, Adobe PDF 등)의 비정상 동작을 유발하고 임의 코드를 강제로 실행 하도록 유도하는 역할을 하는 문서 내 데이터&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;즉, 악성 행위를 하도록 하는 코드 등의 데이터를 의미한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;쉘 코드&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;취약한 소프트웨어의 메모리 상에서 임의로 실행되는 머신 코드 혹은 명령어&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;과거 주로 쉘 프롬프트를 획득하는 기능으로 시작하여 이런 이름이 붙었으나, 최근에는 다양한 기능을 포함하고 있음&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;쉘 코드의 주요 우선순위는 메모리 확보로, 취약한 소프트웨어의 메모리 공간에서 쉘 코드를 주입하여 실행하는 것이 공격자의 우선 목표다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;매크로/스크립트&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성 문서를 열람할 때 오피스 프로그램에 의해 직접 실행되는 VB 스클비트, 포스트 스크립트, 자바 스크립트 등을 의미&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;실행파일&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;악성 문서파일 내에 암호화된 형태로 내장되어 있는 파일&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;스크립트 혹은 쉘 코드에 의해 복호화 된 후 실행되는 것이 일반적인 동작과정&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;Office 문서의 포맷&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;CFBF (Compound File Binary Format)&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;FAT 디스크 파일 시스템과 비슷한 구조로, 하나의 파일 내에 다수의 파일들과 폴더 구조를 논리적으로 담을 수 있도록 구현한 포맷&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;복잡한 FAT 파일 시스템을 모사하여 만들었기 때문에, 구조가 상당히 복잡하고 직관적이지 않은 단점을 가지고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;마이크로소프트에서 개발, 구 버전 MS Office에서 주로 사용했다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 파일 포맷의 확장자는 DOC, PPT, XLS, HWP, MSI 등이 존재한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;OOXML (Office Open XML)&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;XML 파일 기반의 ZIP 압축 파일 포맷&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;XML 파일과 다양한 바이너리 파일들이 압축되어 있으며, XML 파일은 각종 메타 데이터를 담고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;마이크로소프트에서 개발, 2000년대부터 구 MS Office의 파일 포맷을 대체하기 위한 방법으로 사용하기 시작하였다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 파일 포맷의 확장자는 DOCX, PPTX, XMLX, HWPX 등이 존재한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;Office 문서 분석 도구&lt;/h3&gt;
&lt;p data-ke-size=&quot;size18&quot;&gt;&lt;b&gt;OLETOOLS&lt;/b&gt;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;CFBF 포맷으로 이루어진 파일을 분석할 수 있는 파이썬 기반 도구 패키지&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;단순 분석 뿐만 아닌 OOXML 포맷, RTF 문서, Office 파일의 DDE(Dynamic Data Exchange) 분석 도구 등의 다양한 도구들을 포함하고 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;주로 악성 문서 파일을 식별(Triage)하고, 내장된 악성 개체(파일, 스크립트 등)를 탐지, 추출하는데 유용하게 사용한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;h3 data-ke-size=&quot;size23&quot;&gt;Office 문서 포맷 실습&lt;/h3&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 문서 파일은 KISA에서 제공한 내용을 바탕으로 진행하였다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;414&quot; data-origin-height=&quot;193&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/SZbgq/btsIJEsb6XU/rqpF5QLBpaBp23uMSggvik/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/SZbgq/btsIJEsb6XU/rqpF5QLBpaBp23uMSggvik/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/SZbgq/btsIJEsb6XU/rqpF5QLBpaBp23uMSggvik/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FSZbgq%2FbtsIJEsb6XU%2FrqpF5QLBpaBp23uMSggvik%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;414&quot; height=&quot;193&quot; data-origin-width=&quot;414&quot; data-origin-height=&quot;193&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 문서들은 다양한 확장자를 가지고 있으나, 헤더를 열여 정확한 정보를 확인하면 어떤 포맷으로 이루어졌는지 확인할 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;962&quot; data-origin-height=&quot;166&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/ABwQI/btsIIARzW54/SGi8qRI8MTaNrjRruRWBa0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/ABwQI/btsIIARzW54/SGi8qRI8MTaNrjRruRWBa0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/ABwQI/btsIIARzW54/SGi8qRI8MTaNrjRruRWBa0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FABwQI%2FbtsIIARzW54%2FSGi8qRI8MTaNrjRruRWBa0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;962&quot; height=&quot;166&quot; data-origin-width=&quot;962&quot; data-origin-height=&quot;166&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;즉, 한개의 파일은 CFBF 구조, 나머지는 OOXML 구조의 포맷으로 되어 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;앞서 이야기하였듯, CFBF 포맷을 분석하기 위한 도구는 OLETOOLS를 사용한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 도구의 oledump를 이용하여 해당 문서의 파일을 파싱하면 된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;OOXML 구조는 별다른 툴이 필요하지 않다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;CFBF 포맷과는 다르게 압축 형태이기 때문에, zip으로 확장자를 변경 후 압축 해제하면 된다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;573&quot; data-origin-height=&quot;264&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/7YHEL/btsIIzkQFNr/XDoneKHNzsR0pgQCOL2oD0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/7YHEL/btsIIzkQFNr/XDoneKHNzsR0pgQCOL2oD0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/7YHEL/btsIIzkQFNr/XDoneKHNzsR0pgQCOL2oD0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F7YHEL%2FbtsIIzkQFNr%2FXDoneKHNzsR0pgQCOL2oD0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;573&quot; height=&quot;264&quot; data-origin-width=&quot;573&quot; data-origin-height=&quot;264&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;</description>
      <category>KISA 사이버 보안 훈련/멀웨어 식별</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/114</guid>
      <comments>https://gate36.tistory.com/114#entry114comment</comments>
      <pubDate>Mon, 22 Jul 2024 15:20:47 +0900</pubDate>
    </item>
    <item>
      <title>프로세스 이상징후 분석 (시나리오 3)</title>
      <link>https://gate36.tistory.com/113</link>
      <description>&lt;p data-ke-size=&quot;size16&quot;&gt;동일하게 KISA GYM으로부터 제공받아 실습을 진행하였다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;437&quot; data-origin-height=&quot;185&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/lYokF/btsIHnZibwu/d1CJW1t8EUoUrkSd7OVSBk/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/lYokF/btsIHnZibwu/d1CJW1t8EUoUrkSd7OVSBk/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/lYokF/btsIHnZibwu/d1CJW1t8EUoUrkSd7OVSBk/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FlYokF%2FbtsIHnZibwu%2Fd1CJW1t8EUoUrkSd7OVSBk%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;437&quot; height=&quot;185&quot; data-origin-width=&quot;437&quot; data-origin-height=&quot;185&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이전 시나리오와 동일하게, imageInfo를 추출한 후, pslist와 pstree, dlllist, 그리고 procdump로 프로세스 이미지를 덤프 뜬다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;211&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/B13sL/btsIIy6IfS1/pvb0h3UKn83DvyOpbV6gB0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/B13sL/btsIIy6IfS1/pvb0h3UKn83DvyOpbV6gB0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/B13sL/btsIIy6IfS1/pvb0h3UKn83DvyOpbV6gB0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FB13sL%2FbtsIIy6IfS1%2Fpvb0h3UKn83DvyOpbV6gB0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;853&quot; height=&quot;211&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;211&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정보를 전부 습득했으니, 이제 분석을 시작한다.&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style5&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;처음으로 분석을 시도할 곳은 dlllist 파일이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이전 시나리오와 동일하게, windows 폴더, programs files 폴더, systemroot를 제외한 위치의 정보를 가져오게 한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;정상적인 위치가 아닌 이상한 위치에 설치되어 실행된 프로세스를 정보를 출력하라는 것이다.&lt;/p&gt;
&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;grep -i &quot;command line&quot; dlllist.txt | grep -v -i &quot;c:\\windows&quot; | grep -v -i &quot;c:\\program files&quot; | grep -v -i &quot;systemroot&quot;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;110&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/P8iLW/btsIHIhPTj8/GfOi4gqFRWOt7KW33ww2v1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/P8iLW/btsIHIhPTj8/GfOi4gqFRWOt7KW33ww2v1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/P8iLW/btsIHIhPTj8/GfOi4gqFRWOt7KW33ww2v1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FP8iLW%2FbtsIHIhPTj8%2FGfOi4gqFRWOt7KW33ww2v1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;853&quot; height=&quot;110&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;110&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;감지된 프로그램은 총 4개로, 상단의 3개는 윈도우의 기본 빌트인 프로그램, 가장 하단의 프로그램은 메모리 덤프를 할 때 사용한 프로그램이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;경로 정보에서는 별다른 이상징후가 보이지 않았다.&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style3&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;두 번째로, dlllist 파일에서 파라미터를 기준으로 한번 더 분석한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;실행되어있는, 혹은 실행될 프로세스의 호출된 파라미터를 분석하여 비정상적으로 호출된 프로세스를 분석하는 것이다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;dlllist의 command line에서, svchost 프로세스의 파라미터를 분석해본다.&lt;/p&gt;
&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;grep -i &quot;command line&quot; dlllist.txt | findstr svchost.exe&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;852&quot; data-origin-height=&quot;227&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/b86dHN/btsIIHbsHUr/Qh70C1GPWoaqcncAxRE280/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/b86dHN/btsIIHbsHUr/Qh70C1GPWoaqcncAxRE280/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/b86dHN/btsIIHbsHUr/Qh70C1GPWoaqcncAxRE280/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fb86dHN%2FbtsIIHbsHUr%2FQh70C1GPWoaqcncAxRE280%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;852&quot; height=&quot;227&quot; data-origin-width=&quot;852&quot; data-origin-height=&quot;227&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 명령어를 통해 svchost의 파라미터 목록을 전부 확인했다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;통상적으로, -k 옵션을 통해 호출한 서비스가 실행되는 것이 일반적이며, 이 옵션이 존재하지 않을 시 악성코드일 가능성이 높다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;svchost 프로세스는 정상임을 알 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;powershell이나 python같은 스크립트 기반 실행 프로세스에도 적용할 수 있으며, 탐색 결과가 정상임을 확인할 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;854&quot; data-origin-height=&quot;95&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/7WUSH/btsIHeVIiZr/lJyliy67Sgj7xkprqzNz7K/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/7WUSH/btsIHeVIiZr/lJyliy67Sgj7xkprqzNz7K/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/7WUSH/btsIHeVIiZr/lJyliy67Sgj7xkprqzNz7K/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F7WUSH%2FbtsIHeVIiZr%2FlJyliy67Sgj7xkprqzNz7K%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;854&quot; height=&quot;95&quot; data-origin-width=&quot;854&quot; data-origin-height=&quot;95&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;종합적으로, 파라미터 관점에서 명령라인의 이상징후는 보이지 않았다.&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style3&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다음으로는 프로세스의 부모-자식 관계를 분석해볼 것이다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;969&quot; data-origin-height=&quot;204&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bezBHS/btsIHY5QtH8/VA6Lpw0wdYaj6TEKcdWHeK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bezBHS/btsIHY5QtH8/VA6Lpw0wdYaj6TEKcdWHeK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bezBHS/btsIHY5QtH8/VA6Lpw0wdYaj6TEKcdWHeK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbezBHS%2FbtsIHY5QtH8%2FVA6Lpw0wdYaj6TEKcdWHeK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;969&quot; height=&quot;204&quot; data-origin-width=&quot;969&quot; data-origin-height=&quot;204&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 분석에는 상기 추출하였던 pstree.txt 파일을 분석한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 파일의 가장 아래쪽을 살펴보면, &lt;b&gt;calc.exe&lt;/b&gt;라는 프로세스가 실행되고 있는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;967&quot; data-origin-height=&quot;85&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/crLnAv/btsIIXSJi2r/K2A3SGKU2xkLFfHO0auEKK/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/crLnAv/btsIIXSJi2r/K2A3SGKU2xkLFfHO0auEKK/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/crLnAv/btsIIXSJi2r/K2A3SGKU2xkLFfHO0auEKK/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcrLnAv%2FbtsIIXSJi2r%2FK2A3SGKU2xkLFfHO0auEKK%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;967&quot; height=&quot;85&quot; data-origin-width=&quot;967&quot; data-origin-height=&quot;85&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;통상적으로, calc.exe 프로세스는 explorer.exe 혹은 svchost.exe 프로세스의 자식 프로세스 형태로 동작한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;그러나, 이 calc.exe 프로세스는 PPID 값이 4020이며, 해당 프로세스는 메모링 덤프 당시 존재하지 않았다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;즉, calc.exe의 부모 프로세스는 덤프 당시 종료된 상태며, 독립적인 프로세스로 동작하고 있음을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이는 일반적인 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;calc.exe&lt;/b&gt;&lt;/span&gt;, 즉 계산기 프로그램이 실행되는 형태가 아니며, 해당 프로세스가 의심된다고 이야기할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;다음으로, svchost.exe 프로세스의 부모-자식 관계를 확인해본다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;855&quot; data-origin-height=&quot;495&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/XQbVc/btsIGX08Kay/tUz3qjVjDvHxv4oWBKLAi1/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/XQbVc/btsIGX08Kay/tUz3qjVjDvHxv4oWBKLAi1/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/XQbVc/btsIGX08Kay/tUz3qjVjDvHxv4oWBKLAi1/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FXQbVc%2FbtsIGX08Kay%2FtUz3qjVjDvHxv4oWBKLAi1%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;855&quot; height=&quot;495&quot; data-origin-width=&quot;855&quot; data-origin-height=&quot;495&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;확인 결과,&amp;nbsp; svchost.exe 파일이 전부 동일한 부모 pid, 즉 services.exe 프로세스를 부모로 두고 있는 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;추가적으로, LoL(Living Off the Land) 바이너리의 유무를 확인한다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;209&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/bgSEoZ/btsIHoxdujc/WHuiSl85RdzU4FJLchis21/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/bgSEoZ/btsIHoxdujc/WHuiSl85RdzU4FJLchis21/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/bgSEoZ/btsIHoxdujc/WHuiSl85RdzU4FJLchis21/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbgSEoZ%2FbtsIHoxdujc%2FWHuiSl85RdzU4FJLchis21%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;853&quot; height=&quot;209&quot; data-origin-width=&quot;853&quot; data-origin-height=&quot;209&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;powershell과 python의 경우, 부모 프로세스를 아무것도 가지고 있지 않은 것을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;dllhost.exe의 부모 프로세스를 보면, pid가 508인 services.exe를 가지고 있지만, 추가적으로 pid가 636인 svchost 프로세스를 부모 프로세스로 추가로 들고 있는 것을 볼 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;dllhost.exe는 dll 파일을 제공하기 위한 호스팅 서비스를 운영하는 프로세스로, 어떤 프로그램이 실행될 때 svchost 혹은 services를 통해 간접적으로 실행한다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서, 정상적이라면 svchost, services의 프로세스 pid가 부모인 dllhost.exe는 정상임을 확인할 수 있다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;종합적으로, 부모-자식 관계에서는 PID값이 4084인 calc.exe 프로세스가 의심되었다.&lt;/p&gt;
&lt;hr contenteditable=&quot;false&quot; data-ke-type=&quot;horizontalRule&quot; data-ke-style=&quot;style3&quot; /&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;마지막으로, 서명정보 및 버전정보를 확인한다.&lt;/p&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;1215&quot; data-origin-height=&quot;428&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/eDQPV9/btsIHndWHjF/ZT0CjFqAGnHxmuHTaC870k/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/eDQPV9/btsIHndWHjF/ZT0CjFqAGnHxmuHTaC870k/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/eDQPV9/btsIHndWHjF/ZT0CjFqAGnHxmuHTaC870k/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FeDQPV9%2FbtsIHndWHjF%2FZT0CjFqAGnHxmuHTaC870k%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;1215&quot; height=&quot;428&quot; data-origin-width=&quot;1215&quot; data-origin-height=&quot;428&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;해당 정보를 바탕으로, 정보가 비어있는 프로세스는 276, 3232, 488, 956으로, 해당 프로세스의 데이터를 분석해본다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;분석에는 awk 툴을 사용할 것으로, 특정 데이터 값을 기반으로 조건에 맞게 다른 데이터를 출력할 것이다.&lt;/p&gt;
&lt;table style=&quot;border-collapse: collapse; width: 100%;&quot; border=&quot;1&quot; data-ke-align=&quot;alignLeft&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td style=&quot;width: 100%;&quot;&gt;awk &quot;{if($3==276 || $3==3232 || $3==488 || $3==956) print $2. $3}&quot; pslist.txt&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;&lt;figure class=&quot;imageblock alignCenter&quot; data-ke-mobileStyle=&quot;widthOrigin&quot; data-origin-width=&quot;854&quot; data-origin-height=&quot;111&quot;&gt;&lt;span data-url=&quot;https://blog.kakaocdn.net/dn/cTcs1j/btsIH12xXZb/xBOELoUk92SOqhOdsTTqI0/img.png&quot; data-phocus=&quot;https://blog.kakaocdn.net/dn/cTcs1j/btsIH12xXZb/xBOELoUk92SOqhOdsTTqI0/img.png&quot;&gt;&lt;img src=&quot;https://blog.kakaocdn.net/dn/cTcs1j/btsIH12xXZb/xBOELoUk92SOqhOdsTTqI0/img.png&quot; srcset=&quot;https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&amp;fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcTcs1j%2FbtsIH12xXZb%2FxBOELoUk92SOqhOdsTTqI0%2Fimg.png&quot; onerror=&quot;this.onerror=null; this.src='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png'; this.srcset='//t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png';&quot; loading=&quot;lazy&quot; width=&quot;854&quot; height=&quot;111&quot; data-origin-width=&quot;854&quot; data-origin-height=&quot;111&quot;/&gt;&lt;/span&gt;&lt;/figure&gt;
&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;이러면 버전 정보를 가지고 있지 않은 다양한 프로세스가 출력된다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;각각의 프로세스를 알아보면, 다음과 같다.&lt;/p&gt;
&lt;ul style=&quot;list-style-type: disc;&quot; data-ke-list-type=&quot;disc&quot;&gt;
&lt;li&gt;&lt;b&gt;smss.exe (272)&lt;/b&gt; :&lt;br /&gt;Session Manager Process, 기본적으로 마스터 smss.exe 프로세스가 존재하며 세션 생성 후 해당 세션을 위한 smss.exe를 추가로 생성하는 프로세스. 생성된 smss.exe는 csrss.exe, wininit.exe, winlogon.exe등의 핵심 프로세스들을 생성하고 종료. 같은 smss.exe에 의해 생성된 프로세스는 PPID가 전부 동일.&lt;br /&gt;빌트인 프로세스&lt;/li&gt;
&lt;li&gt;&lt;b&gt;SearchIndexer (3132)&lt;/b&gt; :&lt;br /&gt;파일 검색, 인덱싱 등의 서비스를 관리하는 책임지는 프로세스&lt;br /&gt;빌트인 프로세스&lt;/li&gt;
&lt;li&gt;&lt;b&gt;slui.exe (956)&lt;/b&gt; :&lt;br /&gt;Software Licensing User Interface, 사용자 라이선스 입력과 관련된 UI를 제공하는 프로세스&lt;br /&gt;빌트인 프로세스&lt;/li&gt;
&lt;li&gt;&lt;b&gt;DumpIt.exe (3292)&lt;/b&gt; :&lt;br /&gt;메모리 덤프에 사용한 프로세스&lt;/li&gt;
&lt;/ul&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;따라서, 서명정보 및 버전정보로 의심되는 프로세스는 없다.&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;&amp;nbsp;&lt;/p&gt;
&lt;p data-ke-size=&quot;size16&quot;&gt;결론적으로, 프로세스 부모-자식 관계가 일반적이지 않던 &lt;span style=&quot;color: #ee2323;&quot;&gt;&lt;b&gt;calc.exe&lt;/b&gt;&lt;/span&gt; 프로세스의 추가 조사가 필요하다.&lt;/p&gt;</description>
      <category>KISA 사이버 보안 훈련/멀웨어 식별</category>
      <author>으앙내눈</author>
      <guid isPermaLink="true">https://gate36.tistory.com/113</guid>
      <comments>https://gate36.tistory.com/113#entry113comment</comments>
      <pubDate>Mon, 22 Jul 2024 02:03:52 +0900</pubDate>
    </item>
  </channel>
</rss>