Dior2ky의 it's IT

DDE(Dynamic Data Exchange)가 무엇인지 살펴보면 DDE(Dynamic Data Exchange) 기능은 사용자의 편의를 위해 Windows 운영체제에서 응용 프로그램 간 데이터 전송을 위해 사용되는 기능이다. 라고 설명되어 있다. 즉 DDE 기능 자체는 악의적인 공격 기법이 아니다. 편의를 위해 만들어놓은 기능인데 이를 어떻게 공격에 사용되는지 보자 가장 기본적인 공격 형태는 워드, 엑셀, 비주얼 베이직 에서 파워쉘을 실행시키고 원하는 명령을 내릴 수 있는 공격이다. 좀 더 복잡한 형태를 보면 프로그램 실행이 아닌 메모리 내에서 프로세스의 상태로 실행되거나 악성코드를 내려받고 실행까지 시키는 형태를 보인다. 이러한 DDE 공격에는 여러 대응법이 있다. 가장 확실한 방법은 파일을 열어보..

기초 정적 분석 안티 바이러스 프로그램 기초 정적 분석을 시작하면서 가장 좋은 시작 단계는 안티 바이러스 프로그램을 통해 살펴보는 것이다. 이러한 안티 바이러스 프로그램들은 여러 기법들을 사용하는데 파일 시그니처, 행위와 패턴 매칭 분석을 주로 사용하는 시그니처 기법과 경험적 기법이라 불리는 Heuristic 기법이 있다. 시그니처 기법은 악성코드 제작자가 코드를 변조하여 프로그램 시그니처가 바뀌면 바이러스 스캐너를 우회할 수 있다는 단점이 있고 경험적 기법은 알려지지 않은 악성코드를 성공적으로 식별하지만 새롭고 독특한 악성코드는 이 기법을 우회 할 수 있다. 분석을 시작하면 이러한 여러 안티 바이러스 프로그램들에 악성 코드를 실행시켜 결과를 확인하는 것이다. 대표적인 웹 사이트는 바이러스토탈 (http..

악성코드 유형 악성코드는 다양한 종류가 있다. 이 종류를 구분하는데는 악성코드가 시도하는 행위를 통해 분류하게 된다. 그럼 종류를 나열해보도록 한다. 백도어(backdoor) : 백도어는 직역하면 뒷문 이라고 할 수 있는데 공격자가 컴퓨터에 언제든 접속 할 수 있도록 만들어진 악성코드라고 할 수 있다. 일반적으로 컴퓨터에 패스워드와 같은 인증을 통해 접근하게 되는데 이러한 백도어를 이용하게 되면 인증 없이 접속해 로컬 시스템에서 명령어를 실행할 수 있게 된다. 봇넷(botnet) : 백도어와 마찬가지로 시스템에 접속할 수 있다는 것이 같지만 공격자는 봇넷에 감염된 시스템을 제어할 수 있는 명령 제어 서버를 둔다. 이 명령 제어 서버는 봇넷에 감염된 하나의 시스템을 제어하는 것이 아니라 동시에 여러대의 감..

악성코드 분석 기법 악성코드를 분석하는 경우 일반적으로 악성코드는 사람이 읽기 어려운 형태로 존재하고 있다. 이 악성코드를 파악하기 위해서 다양한 도구와 기법을 활용하여 적은 양의 정보를 부분적으로 알아내게 된다. 이렇게 적은 양의 정보를 조금씩 조금씩 알아내어 전체적인 그림을 그리게 되는데 이를 위해 다양한 도구들이 필요하게 된다. 악성코드 분석에는 두가지 기초적인 접근방식이 있다. 정적분석과 동적분석으로 나누어진다. 정적분석은 악성코드를 실행하지 않고 분석하는 방법이며 동적분석은 악성코드를 실행하면서 분석하는 것을 말한다. 나아가 두 기법을 각각 기초 또는 고급으로 분류하여 총 4가지로 분석 기법을 나눌 수 있다. 기초 정적 분석 기초 정적 분석은 악성코드의 실제 명령어를 확인하지 않고 실행파일을 조..

안드로이드 악성 APK 분석 우연한 기회로 악성 안드로이드 APK 파일을 구할 수 있었다. 해당 파일 분석을 진행하였다. 우선 APK 파일을 Virustotal 에 올려주었다. 몇개의 회사에서 해당 파일을 악성 파일로 판단하였다. AhnLab-V3도 보인다. 대부분 트로이목마로 판단하고 있고 정보를 훔쳐가는 프로그램, SmsThief 등으로 판단하고 있다. 파일의 해시값 정보는 다음과 같다. 자세한 정보를 살펴보면 다음과 같은 Permission을 획득하려는 코드가 있다. 살펴보면 네트워크 관련과 함께 SMS와 관련된 Permission이 많이 보인다. 그럼 디컴파일 하여 코드를 살펴보도록 한다. apk파일을 .zip으로 바꾸고 압축을 풀어준다. dex2jar 를 통해 dex 파일을 jar 파일로 변환해..

랜섬웨어 (Ransomware) 악성코드의 일종이며 최근에 가장 일반 사람들에게 잘 알려진 랜섬웨어에 대해 알아본다. 랜섬웨어란 무엇일까? 정보처리기사, 정보보안기사에 용어에 대한 문제에 가끔씩 출제되는 부분이다. 랜섬웨어는 몸값을 뜻하는 Ransom과 software를 합성한 단어로 공격 대상자의 시스템을 잠그거나 시스템 안의 데이터들을 암호화시켜서 공격 대상자가 자신의 시스템을 사용할 수 없도록 만든다. 이 피해자가 자신의 시스템과 데이터를 사용하려면 공격자가 요구하는 금액을 지불해야 하며 금액을 지불한다 하더라도 원활하게 복구가 되는것은 확신할 수 없다. 이 악성 프로그램은 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크 망을 통해 유포가 된다. 특히 최근에는 SNS가 급속도로 활발해..