Let's enjoy my life

스노트 설치 Snort_2_9_2_3_Installer.exe Snort 2.9.2.3 버전이 자체적으로 schemas 파일을 제공해주는 마지막 버전으로 해당 버전으로 설치하고자 하며 Snort 홈페이지에서는 실행 파일을 다운로드할 수 없음. 위 그림처럼 선택 후 진행합니다. BASE 설치 압축을 해제한 후 C:\xampp\htdocs 위치에 base 라는 폴더 이름으로 넣어둡니다. ADOdb 설치 압축을 해제한 후 C:\xampp\htdocs 위치에 adodb5 라는 폴더 이름으로 넣어둡니다. MySQL 초기 비밀번호 셋팅 XAMPP 설치 후에 MySQL 초기 비밀번호가 설정되어 있지 않으므로 아래와 같이 명령어를 입력하여 비밀번호를 설정합니다. 1) mysql 라이브러리 파일 위치로 이동 cd C:\..

IT/리팩토링 2024. 1. 17. 14:31

snort란? 1988년 Martin Roesch가 개발, 발표한 대표적인 오픈소스 시그니처 기반 네트워크 침입을 탐지(IDS)&방지(IPS)하는 시스템으로 네트워크 상에서 실시간으로 흐르는 트래픽을 분석하며, 패킷 로깅(로그 생성)을 수행하는 도구 입니다. Snort의 기능 Snort의 기능으로는 스니퍼모드, 패킷로거모드, 침입탐지모드 3가지가 있는데, 첫번째로 스니퍼모드란? 네트워크 패킷을 모니터링 관점에서 수집하는 것으로 네트워크 트래픽을 캡쳐하는기능을 말하며, 출력을 화면에 지속적으로 쏟아내, 데이터를 보존하기 어렵기 때문에 작은 규모의 네트워크에서의 사용을 권장합니다. 두번째로 패킷 로거모드란? 나중에 분석할 수 있도록 네트워크 트래픽을 파일에 기록하는 기능으로 패킷의 로그를 기록하는 기능을 말..

IT/리팩토링 2024. 1. 17. 14:28

악성코드 샘플은 수업에서 제공된 dgrep.exe 이며, 지난번 환경 설정을 바탕으로 VMware Workstation의 윈도우7 가상환경에서 샘플분석을 기초분석, 정적분석 후 동적분석으로 진행하였습니다. 1. 기초 분석 Virustotal에 악성 샘플을 업로드하였을 때, 그림1과 같이 70개의 백신 중 67개의 백신에서 악성코드라고 진단하였으며, 많은 백신이 Backdoor,Trojan 으로 악성코드 진단을 하였습니다. 이를 통해 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 설치된 통신 연결 기능인 백도어와 정상적인 파일로 위장하여 악의적인 기능을 수행하는 트로이 목마 성격을 가지고 있는 것으로 확인하였습니다. 그림 2와 같이 DETALIS 탭에 들어가서 확인해보면, 해당파일..

IT/리팩토링 2024. 1. 17. 14:28

악성코드 샘플은 수업에서 제공된 bton02setup.exe이며, 지난번 환경 설정을 바탕으로 VMware Workstation의 윈도우7 가상환경에서 샘플분석을 정적분석 후 동적분석으로 진행하였습니다. 1. 정적 분석 아래의 각 툴을 사용하여 정적분석을 진행하였습니다. 그림1. 과 같이 PEID에서 파일검사를 진행한 결과 마이크로소프트 비주얼 C로 코딩된 프로그램임을 확인하였습니다. 그림2. 와 같이 PE View를 이용하여 검사한 결과 4D 5A ( MZ ) 를 확인하여, 이 파일은 실행파일이라는 것을 알 수 있었습니다. 또한 그림3. 처럼 IMAGE_FILE_HEADER의 Time Date Stamp를 확인한 결과 해당 파일이 2015년 08월 04일에 생성된 것도 확인할 수 있었습니다. 그림4. ..

IT/리팩토링 2024. 1. 17. 14:24

VM웨어 워크스테이션은 VM웨어사가 만든 하이퍼바이저 기반 가상머신 소프트웨어” VMware 를 설치하며 위와같은 가상 윈도우가 설정되고 악성코드를 분석시, 본 컴퓨터에 실행하지않아 안전하게 분석이 가능하다. 악성코드 샘플수집 사이트 1. MalwareBazzar database MalwareBazzar database에 들어가보면 다음과 같이 최근 24시간 이내에 가장 사람들이 많이 확인한 악성코드가 무엇인지 나오며 그 아래에 이와 같이 데이터베이스가 펼쳐진다. 2. Hybrid Analysis 연구 목적으로 악성코드 파일을 공유하는 플랫폼으로 악의적인 목적으로 서비스가 악용되지 않기 위해 가입 및 인증 심사제도를 두고 있음 가입승인이 나면 악성코드를 검색이 가능하고 검색 이후에 실제로 하나의 악성 코..

IT/리팩토링 2023. 8. 15. 16:33

정적 분석이란? “소프트웨어가 실행되지 않는 환경에서 소스코드 의미를 분석, 결함을 찾아내는 분석기법” 소프트웨어를 따로 실행 할 필요가 없어 직접 실행해야하는 동적분석에 비해서 안전하게 분석이 가능합니다. 1. 파일 유형 파악 - 분석 시 의심스러운 바이너리의 파일 유형을 구분 EX) 윈도우 기반 악성코드 대부분은 PE(Portable Executable) 파일 유형으로 공격자는 속임수로 파일확장자를 수정해 외형을 바꾸는데, 파일 확장자 대신 파일 시그니처를 이용하여 구분이 가능 파일 시그니처란? 파일 헤더에 작성되는 바이트의 독특한 배열순서 Ex) 윈도우 실행파일 또는 PE파일은 파일의 첫 바이트에 MZ 또는 헥사 문자 4D 5A라는 파일 시그니처를 가짐 파일 유형파악 Tool _HxD Editor ..

IT/리팩토링 2023. 8. 15. 16:24

Virus total 무료 온라인 바이러스 검사 웹사이트로 각기 다른 70여개의 안티바이러스 엔진들이 의심스러운 파일이나 URL 주소를 검사해 각각의 백신에서 어떤 진단명으로 악성 코드로 진단을 하고 있는지 보여줍니다. 또한, 악성 경유지로 활용이 되었던 이력들이 있는지 확인이 가능하여 국내외 보안 기업은 물론 대기업, 공공기관, 연구시설, 정부에서도 자주 사용하고 있습니다. FILE, URL, SEARCH 세가지 탭으로 구성되어 있습니다. 바이러스 토탈 주소 : https://www.virustotal.com/gui/home/upload VirusTotal Analyse suspicious files and URLs to detect types of malware, automatically share ..

IT/리팩토링 2023. 8. 15. 16:07

보안관제 업무란? IT자원을 사이버 공격으로 부터 보호하기 위하여 보안 이벤트 및 로그 등을 실시간으로 감시 및 분석,대응하는 업무로서 즉, IT자원의 보호가 주 목적인 업무 보안관제 수행 3원칙 무중단 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단 없이 수행되어야 함 그렇기 때문에 이를 위해 적정 수의 보안관제 인력을 보유하여 교대 근무체계를 구축하여야 한다. 전문성 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에 관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함 보안관제 시설 및 인력의 전문성의 수준에 따라 사이버공격을 탐지 및 대응하는 능력의 차이가 발생 할 수 있다. ..

IT/리팩토링 2023. 8. 15. 15:55