#악성코드2

• 악성코드 수집 및 분석 방법 HONEY POT을 이용한 악성코드 수집 - 취약한 가상 시스템을 통해 공격자를 유인하여 공격자의 공격정보를 수집하는 시스템 종류 KIPPO - ssh기반 공격 정보를 수집하는 허니팟Glastopf - SQL 인젝션 공격 에물레이터 가능한 허니팟Dionaea - HTTP, FTP, SMB 등의 서비스 등으로 접근하는 악성코드를 수집하는 허니팟 Honey Client를 이용한 악성코드 수집 Honey Client란? 웹 브라우저 통해 특정 웹사이트를 방문 후 발생하는 악성파일을 능동적으로 수집하는 시스템 Honey Client 수집 과정 1-웹 크롤러를 통해 단순 페이지가 수집이 아닌 url의 파일 확장명이 .exe등을 수집2-파일 헤더 부분을 검사하여 실행파일 인지 검증3-바이러스 토탈 또는 분석 환경을.. Malware 2015. 9. 3.

• 악성코드 대응 네트워크 상태 점검하기시스템에서는 netstat와 같은 명령으로 열려 있는 포트를 확인할 수 있음. 네트워크 상태 점검하기* 악성코드가 사용하는 포트를 확인하기 어려운 경우 CPorts와 같은 프로그램을 사용하여 서비스 포트별로 사용하는 응용 프로그램을 확인할 수 있음.* BackDoor-DVR를 실행한 뒤 CPorts에서 활성화된 네트워크 항목을 살펴보면 특이한 연결이 존재 정상적인 프로세스와 비교하기* 윈도우와 유닉스 시스템 등의 정상적인 프로세스를 외워두면 비정상적인 프로세스를 식별하는 데 많은 도움이 됨.* 윈도우 시스템이 동작하기 위한 기본 프로세스 - Csrss.exe(Client/Server Runtime SubSystem : Win 32) : 윈도우 콘솔을 관장하고, 스레드를 생성·삭제하며.. Security Study/System Security 2015. 9. 3.