악성코드 수집 및 분석 방법

HONEY POT을 이용한 악성코드 수집 - 취약한 가상 시스템을 통해 공격자를 유인하여 공격자의 공격정보를 수집하는 시스템

종류

KIPPO - ssh기반 공격 정보를 수집하는 허니팟

Glastopf - SQL 인젝션 공격 에물레이터 가능한 허니팟

Dionaea - HTTP, FTP, SMB 등의 서비스 등으로 접근하는 악성코드를 수집하는 허니팟 

Honey Client를 이용한 악성코드 수집

Honey Client란?

웹 브라우저 통해 특정 웹사이트를 방문 후 발생하는 악성파일을 능동적으로 수집하는 시스템

Honey Client 수집 과정

1-웹 크롤러를 통해 단순 페이지가 수집이 아닌 url의 파일 확장명이 .exe등을 수집

2-파일 헤더 부분을 검사하여 실행파일 인지 검증

3-바이러스 토탈 또는 분석 환경을 통해 악성 여부 확인

웹페이지 수집

Scrapy - 웹 페이지 Crawling 해주는 Python Library

pythonhackers.com/open-source/

실행파일 체크

pefie.py - code.google.com/p/pefile

악성 파일 여부 확인

ClamAV - 리눅스용 오픈소스 백신(패턴 Customzing 가능)

VirusTotal - 50여개 안티 바이러스 엔진을 통해 악성여부 확인

웹사이트 활용

www.scumware.org

malwr.com

urlquery.net

======================================================================================================================

동적 분석 기반 악성코드 분류

동적 분석 기반 악성코드 분류?

악성코드 실행을 통해 추출되는 정보를 가지고 악성코드 분류(API를 통함)

API 리스트 비교 방법

정상 프로그램에서 사용되는 API를 제외하고 나머지 API 비교

정적 분석 기반 악성코드 분류

악성코드를 실행하지 않고 악성코드 속성 정보를 가지고 분류

파일 속성 정보 분류

속성(개발 국가, 네트워크, 개발언어, 포렌식) 등

분석도구

CUCKOO

가상 환경에서 악성파일을 실행 후 분석 결과(API함수, 파일 변화, 메모리 덤프, 네트워크 덤프)를 자동으로 수집

YARA 

악성코드의 텍스트/바이너리 정보의 기반으로 악성코드의 종류들을 식별하고 분류하는 목적으로 사용하는 도구(내부 패턴이용)

CUCKOO와 YARA 서로 연동이 되며 상호관계를 유지

======================================================================================================================

ssl pinning -- 검색

ASLR? -> ROP

[출처] 악성코드 수집 및 분석 방법 |작성자 Zealous