RAT(Remote Access Trojan)은 대규모 스팸 메일을 통해 전파될 수 있는 악성코드이다. 이번엔 RAT 악성코드를 갖는 xls파일(엑셀 파일)을 대상으로 분석한다. 먼저 문서형 파일 분석도구인 oledump 도구를 이용해 분석해본다. oledump.py invoice.xls 명령어를 입력했지만 일반적으로 문서형 악성코드에서 발견되는 매크로가 보이지 않는다. 이는 매크로4.0 에서 제공하는 숨김기능 때문이며 oledump 툴의 plugin_biff 옵션을 사용해 숨겨진 매크로를 확인할 수 있다. oledump.py -p plugin_biff --pluginoptions "-x" invoice.xls 명령어를 통해 다음과 같은 결과를 얻을 수 있고 분석해보면 다음과 같다. Excel 4.0ma..

Rocky 악성코드는 pdf, word 형식으로된 랜섬웨어 악성코드의 일종이다. 여기서는 PDF 형식의 악성코드 파일을 분석해본다. (pdf-parser 도구를 이용해 악성 PDF 파일을 실행하지 않고 분석함) PDF 파일 포맷 PDF 파일의 포맷은 크게 Object, File Structure, Document Structure, Content Stream 까지 총 4개의 영역으로 분리되고 File Structure는 Header, Body, Cross-reference table, Trailer 4개로 구분된다. Header - 헤더에서는 PDF의 버전 정보가 표시된다. Body - 파일의 문서를 구성하는 Object를 포함한다. Cross Reference table(optional) - 파일의 간..

네트워크마이너를 통해 패킷을 열어보면 Sessions 탭에서 어떤 프로토콜을 사용해 통신했는지 그리고 Client와 Server의 호스트를 볼 수 있다. Protocol : SSL , HTTP Client Host : 10.3.30.101 Server Host : 23.193.87.38, 173.247.240.210, 172.217.0.14, 172.217.0.4, 49.51.138.88, 198.105.244.64 Files 탭을 보면 다운로드한 여러 파일을 볼 수 있는데 cer(인증서 관련)확장자 파일들과 html 파일들을 볼 수 있다. 인증서가 신뢰할 수 있는 인증서인지 확인하기위해 다음의 SSL 검증 사이트에가서 확인해본다. 신뢰할 수 있는 사이트라고 한다. 네트워크 마이너를 보면 cer 파일 이..

분석에 필요한 OLEdump 도구 Emotet 악성코드 Emotet 악성코드는 2014년 처음으로 발견된 금융정보 탈취 악성코드로 이 악성코드는 주로 피싱 메일을 통해 전파되며 문서 파일(doc, xlsx) 형태의 악성코드를 말한다. 네트워크마이너를 통해 세션 번호 3에서 10.3.11.101(Client)가 119.82.24.91(Server)로 접속해 INSTR90441067810095.doc.xml 파일을 다운로드했음을 확인 파일의 xml 확장자를 제거한 후 oledump.py 도구로 확인해보기 oledump는 문서형 악성코드를 분석하는 도구로 가장 상단의 툴을 다운로드 한 후 다음과 같이 사용하면 된다. 처음에는 명령어를 실행해도 반응이 없어 삽질을하다가 윈도우 디펜서가 켜져있어서 그렇다는걸 깨닫..

오픈 소스 IDS www.snort.org/ Snort - Network Intrusion Detection & Prevention System With over 5 million downloads and over 600,000 registered users, it is the most widely deployed intrusion prevention system in the world. www.snort.org 이번 글에서는 위의 snort 2.9.2.3 installer를 이용해 설치함 base 설치 sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz/download 설치한 base 파일을 APM_SETUP - ht..

Packet을 분석해주는 사이트 packettotal.com/ PacketTotal - A free, online PCAP analysis engine packettotal.com PacketTotal 사이트는 탐지패턴정보만을 제공하므로 와이어샤크랑 함께 분석에 이용해야되고 PacketTotal 사이트의 탐지 시간은 UTC 시간대이므로 와이어샤크에서 view - time display format에서 UTC data and time으로 변경해준다. 위 그림의 packettotal 정보와 wireshark의 정보를 분석 Content-type이 application/octet-stream 이라는것은 실행이 가능한 파일이라는 것