Malware

์•…์„ฑ์ฝ”๋“œ ์ˆ˜์ง‘ ๋ฐ ๋ถ„์„ ๋ฐฉ๋ฒ•

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2015. 9. 3.
728x90
๋ฐ˜์‘ํ˜•

HONEY POT์„ ์ด์šฉํ•œ ์•…์„ฑ์ฝ”๋“œ ์ˆ˜์ง‘ - ์ทจ์•ฝํ•œ ๊ฐ€์ƒ ์‹œ์Šคํ…œ์„ ํ†ตํ•ด ๊ณต๊ฒฉ์ž๋ฅผ ์œ ์ธํ•˜์—ฌ ๊ณต๊ฒฉ์ž์˜ ๊ณต๊ฒฉ์ •๋ณด๋ฅผ ์ˆ˜์ง‘ํ•˜๋Š” ์‹œ์Šคํ…œ


์ข…๋ฅ˜


KIPPO - ssh๊ธฐ๋ฐ˜ ๊ณต๊ฒฉ ์ •๋ณด๋ฅผ ์ˆ˜์ง‘ํ•˜๋Š” ํ—ˆ๋‹ˆํŒŸ

Glastopf - SQL ์ธ์ ์…˜ ๊ณต๊ฒฉ ์—๋ฌผ๋ ˆ์ดํ„ฐ ๊ฐ€๋Šฅํ•œ ํ—ˆ๋‹ˆํŒŸ

Dionaea - HTTP, FTP, SMB ๋“ฑ์˜ ์„œ๋น„์Šค ๋“ฑ์œผ๋กœ ์ ‘๊ทผํ•˜๋Š” ์•…์„ฑ์ฝ”๋“œ๋ฅผ ์ˆ˜์ง‘ํ•˜๋Š” ํ—ˆ๋‹ˆํŒŸ 


Honey Client๋ฅผ ์ด์šฉํ•œ ์•…์„ฑ์ฝ”๋“œ ์ˆ˜์ง‘


Honey Client๋ž€?


์›น ๋ธŒ๋ผ์šฐ์ € ํ†ตํ•ด ํŠน์ • ์›น์‚ฌ์ดํŠธ๋ฅผ ๋ฐฉ๋ฌธ ํ›„ ๋ฐœ์ƒํ•˜๋Š” ์•…์„ฑํŒŒ์ผ์„ ๋Šฅ๋™์ ์œผ๋กœ ์ˆ˜์ง‘ํ•˜๋Š” ์‹œ์Šคํ…œ


Honey Client ์ˆ˜์ง‘ ๊ณผ์ •


1-์›น ํฌ๋กค๋Ÿฌ๋ฅผ ํ†ตํ•ด ๋‹จ์ˆœ ํŽ˜์ด์ง€๊ฐ€ ์ˆ˜์ง‘์ด ์•„๋‹Œ url์˜ ํŒŒ์ผ ํ™•์žฅ๋ช…์ด .exe๋“ฑ์„ ์ˆ˜์ง‘

2-ํŒŒ์ผ ํ—ค๋” ๋ถ€๋ถ„์„ ๊ฒ€์‚ฌํ•˜์—ฌ ์‹คํ–‰ํŒŒ์ผ ์ธ์ง€ ๊ฒ€์ฆ

3-๋ฐ”์ด๋Ÿฌ์Šค ํ† ํƒˆ ๋˜๋Š” ๋ถ„์„ ํ™˜๊ฒฝ์„ ํ†ตํ•ด ์•…์„ฑ ์—ฌ๋ถ€ ํ™•์ธ


์›นํŽ˜์ด์ง€ ์ˆ˜์ง‘


Scrapy - ์›น ํŽ˜์ด์ง€ Crawling ํ•ด์ฃผ๋Š” Python Library

pythonhackers.com/open-source/


์‹คํ–‰ํŒŒ์ผ ์ฒดํฌ


pefie.py - code.google.com/p/pefile


์•…์„ฑ ํŒŒ์ผ ์—ฌ๋ถ€ ํ™•์ธ


ClamAV - ๋ฆฌ๋ˆ…์Šค์šฉ ์˜คํ”ˆ์†Œ์Šค ๋ฐฑ์‹ (ํŒจํ„ด Customzing ๊ฐ€๋Šฅ)

VirusTotal - 50์—ฌ๊ฐœ ์•ˆํ‹ฐ ๋ฐ”์ด๋Ÿฌ์Šค ์—”์ง„์„ ํ†ตํ•ด ์•…์„ฑ์—ฌ๋ถ€ ํ™•์ธ


์›น์‚ฌ์ดํŠธ ํ™œ์šฉ


www.scumware.org

malwr.com

urlquery.net


======================================================================================================================

๋™์  ๋ถ„์„ ๊ธฐ๋ฐ˜ ์•…์„ฑ์ฝ”๋“œ ๋ถ„๋ฅ˜



๋™์  ๋ถ„์„ ๊ธฐ๋ฐ˜ ์•…์„ฑ์ฝ”๋“œ ๋ถ„๋ฅ˜?

์•…์„ฑ์ฝ”๋“œ ์‹คํ–‰์„ ํ†ตํ•ด ์ถ”์ถœ๋˜๋Š” ์ •๋ณด๋ฅผ ๊ฐ€์ง€๊ณ  ์•…์„ฑ์ฝ”๋“œ ๋ถ„๋ฅ˜(API๋ฅผ ํ†ตํ•จ)


API ๋ฆฌ์ŠคํŠธ ๋น„๊ต ๋ฐฉ๋ฒ•

์ •์ƒ ํ”„๋กœ๊ทธ๋žจ์—์„œ ์‚ฌ์šฉ๋˜๋Š” API๋ฅผ ์ œ์™ธํ•˜๊ณ  ๋‚˜๋จธ์ง€ API ๋น„๊ต


์ •์  ๋ถ„์„ ๊ธฐ๋ฐ˜ ์•…์„ฑ์ฝ”๋“œ ๋ถ„๋ฅ˜

์•…์„ฑ์ฝ”๋“œ๋ฅผ ์‹คํ–‰ํ•˜์ง€ ์•Š๊ณ  ์•…์„ฑ์ฝ”๋“œ ์†์„ฑ ์ •๋ณด๋ฅผ ๊ฐ€์ง€๊ณ  ๋ถ„๋ฅ˜


ํŒŒ์ผ ์†์„ฑ ์ •๋ณด ๋ถ„๋ฅ˜

์†์„ฑ(๊ฐœ๋ฐœ ๊ตญ๊ฐ€, ๋„คํŠธ์›Œํฌ, ๊ฐœ๋ฐœ์–ธ์–ด, ํฌ๋ Œ์‹) ๋“ฑ


๋ถ„์„๋„๊ตฌ


CUCKOO


๊ฐ€์ƒ ํ™˜๊ฒฝ์—์„œ ์•…์„ฑํŒŒ์ผ์„ ์‹คํ–‰ ํ›„ ๋ถ„์„ ๊ฒฐ๊ณผ(APIํ•จ์ˆ˜, ํŒŒ์ผ ๋ณ€ํ™”, ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„, ๋„คํŠธ์›Œํฌ ๋คํ”„)๋ฅผ ์ž๋™์œผ๋กœ ์ˆ˜์ง‘


YARA 


์•…์„ฑ์ฝ”๋“œ์˜ ํ…์ŠคํŠธ/๋ฐ”์ด๋„ˆ๋ฆฌ ์ •๋ณด์˜ ๊ธฐ๋ฐ˜์œผ๋กœ ์•…์„ฑ์ฝ”๋“œ์˜ ์ข…๋ฅ˜๋“ค์„ ์‹๋ณ„ํ•˜๊ณ  ๋ถ„๋ฅ˜ํ•˜๋Š” ๋ชฉ์ ์œผ๋กœ ์‚ฌ์šฉํ•˜๋Š” ๋„๊ตฌ(๋‚ด๋ถ€ ํŒจํ„ด์ด์šฉ)


CUCKOO์™€ YARA ์„œ๋กœ ์—ฐ๋™์ด ๋˜๋ฉฐ ์ƒํ˜ธ๊ด€๊ณ„๋ฅผ ์œ ์ง€


======================================================================================================================


ssl pinning -- ๊ฒ€์ƒ‰


ASLR? -> ROP


728x90
๋ฐ˜์‘ํ˜•

'Malware' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

Pharming malware ์‹œ์—ฐ์ž…๋‹ˆ๋‹ค.  (0) 2016.12.15
python ์•…์„ฑ์ฝ”๋“œ ์ƒ˜ํ”Œ์ž…๋‹ˆ๋‹ค.  (0) 2016.12.14

๋Œ“๊ธ€