공부용

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 동적분석 : 악성코드 실행 후 다양한 모니터링 활동을 수행.-> 목표 : 악성코드 행위, 시스템에 끼친 영향과 관련된 실시간 데이터 수집. 여러 유형의 모니터링프로세스 모니터링 : 프로세스 활동 모니터링, 악성코드 실행 중 생성한 결과의 속성을 검사.파일 시스템 모니터링 : 파일 시스템 실시간 모니터링.레지스트리 모니터링 : 접근/수정된 레지스트리 키, 악성코드 바이너리가 읽거나 작성한 레지스트리 데이터 모니터링.네트워크 모니터링 : 시스템으로 유입되거나 외부로 나간 라이브 트래픽 모니터링. 랩 환경 설정 후, 분석 도구 호스트 머신에서 다운. 도구를 가상머신에 전송하거나 설치, 클린 스냅샷 생성.*스냅샷 : VM..

2025년 2월 피싱이 전체 공격의 78%로, 가장 빈번한 위협 유형으로 확인.피싱 기법 : HTML 등의 스크립트 활용 / PDF 등 문서 파일 내 하이퍼링크 삽입 등  피싱 메일 중 한글로 구성된 사례 분류, 피싱 메일에서 자주 등장하는 키워드(일부 공개)-> 세금, 통관, 송장, 은행, 계산서 등 + 첨부파일에 html 문서  첨부 파일 포맷별 분석(2월 사례) : 피싱 페이지(FakePage), 문서 첨부 파일의 다운로더(Downloader) 및 정보 유출(Infostealer) 악성코드 문서 파일 내부에 external link를 삽입 -> 사용자가 문서를 실행하는 순간 악성 기능이 자동으로 동작하도록 설계된 사례有 피싱 공격 대응 방안의심스러운 첨부 파일 및 링크 주의이메일 보안 필터링 강화피..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」정적분석 도구와 기법 파일 유형 파악의심스러운 바이너리의 파일 유형 구분. -> 운영 시스템과 아키텍처(32비트 또는 64비트 플랫폼) 식별에 도움. 윈도우 기반 악성코드 확장자 : 대부분 .exe / .dll / .sys 등으로 끝남.그러나 공격자가 파일 확장자를 수정할 수 있음. -> 파일 시그니처를 통해 파일 유형 구분 가능. 파일 시그니처(file signature) : 파일 헤더에 작성되는 바이트의 독특한 배열 순서.*윈도우 실행 파일 또는 PE 파일 : 파일의 첫 바이트에 MZ 또는 헥사 문자 4D 5A라는 파일 시그니처를 가짐.수작업 : 헥사 편집기(hex editor)로 파일을 열어 파일 시그니처를 찾..

전통적인 정보보호체계 : 시그니처 패턴 기반의 알려진 악성 URL 탐지-> 알려지지 않은 악성 URL 탐지 불가 악성 URL 데이터를 동적 학습해 효율적으로 악성 URL 탐지하는 기법 제안머신러닝 기반 특징 선택 알고리즘 사용 -> 악성코드 분류가중 유클리드 거리(Weighted Euclidean Distance, WED)를 활용 -> 사전처리 진행난독화 요소 제거 -> 정확도 개선악성코드 : 악의적인 목적을 위해 작성된 코드악성코드 은닉사이트 / 악성 URL(Uniform Resource Locator) : 악성코드를 사용자의 PC 감염시킬 수 있는 사이트-> 이러한 공격은 웹 사이트 방문, 이메일 확인 시에 발생. 악성코드 실행 후 공격. 악성코드 은닉 여부를 탐지하기 위한 정적 분석 기법에 관한 연..

이 글은 워게임(rev-basic-0)을 풀고 정리하면 추가로 공부하면 좋을 내용을 정리한 것이다.  어셈블리어 못 읽는게 이번 워게임 풀 때는 크게 문제가 되지 않았지만, 어느 정도 알아두는 편이 좋을 것 같았다. 그래서 드림핵의 리버싱 트랙의 Assembly Essential Part를 읽으며 공부했다. 아래 내용은 해당 부분의 요약본이다.x86 Assembly🤖 : Essential Part(1), Essential Part(2) 어셈블리 언어(Assembly Language) : 컴퓨터의 기계와 치환되는 언어. 어셈블리어의 종류도 다양하다.어셈블러(Assembler) : 일종의 통역사로, 개발자가 어셈블리어로 코드를 작성하면 기계어로 코드를 치환해준다.역어셈블러(Disassembler) : 기계..