지난번에 조사한 PUP와 그에 대한 사례에서 추가적으로 GRR에서 실제로 적용한 내용을 작성해보도록 하자. 테스트 대상의 시스템 정보는 다음과 같다. 테스팅을 한 악성코드는 다음과 같다. 그리고 ‘virustotal’이라는 사이트를 통해 테스팅한 악성코드를 각 안티바이러스군에 따라 분석을 해보았을 때 다음과 같았다. 대부분의 안티바이러스군이 악성코드라고 탐지한 malware.exe를 실행시켜 GRR에서 어떤 변화가 있는지 확인해보았다. 우선적으로 GRR에서 ListProcesses와 Netstat를 실행하여 기존 값을 찍어둔 뒤, malware.exe를 실행한 후 GRR에서 다시 ListProcesses와 Netstat를 실행하였다. ListProcesses는 아래와 같이 출력되었다. - ListProc..
GRR은 Google Rapid Response의 약자로써, 원격 라이브 포렌식에 중점을 둔 침해사고대응 프레임워크이다. 구글은 GRR을 보안 커뮤니티 전체에 공개했고 오픈소스화 시켜서 기존의 사건 대응 플랫폼에 대한 대체재를 마련하였다. 특정 악성코드 분석을 실시, 일정한 패턴을 가지고 있는지를 파악하여 그것을 GRR을 통해 적용, 실시간으로 관제하는 라이브 포렌식을 실시하여 black list로 걸러낼 수 있도록 하는 것이 목표이다. 추가되는 내용이 있다면 더 쓰겠다. GRR에 대해서 더 알고 싶은 부분이 있다면 다음의 링크를 참조하면 좋을 것이다. https://cpuu.postype.com/post/177743/
PUP은 공개용 프로그램의 번들이나 블로그, 카페 등에서 S/W 설치 시 약관의 동의 없이 광고를 노출하거나 브라우저의 시작 페이지를 특정 사이트로 변경하는 역할의 악성코드이다. 교묘하게 사용자의 동의를 얻어 내고 설치되기 때문에 악성코드로 분류하는데 어려움이 있다. 따라서 불필요한 프로그램으로 별도로 분류된다. 이러한 PUP 악성코드의 주된 목적과 다르게 변조되어 PC에 저장된 공인인증서를 외부로 전송하는 악성코드가 발견되었다고 한다. 기존 PUP의 감염 방식과 변경된 신종 PUP 감염 방식은 다음과 같다. 기존 PUP 악성코드는 S/W 설치 시 광고나 시작 페이지 변경을 위한 별도의 프로세스를 몰래 생성하여 사용자 PC의 인터넷 브라우저나 레지스트리 변조를 통하여 광고를 노출했다. 그러나 변경된 PU..
- Total
- Today
- Yesterday
- #ReKall
- #tcpdump
- #WireShark
- blockchain
- ethereum
- 이더리움
- #Chrome
- #수정
- #Volatility
- ethereumj
- #WinHex
- #tool
- #크롬
- #이미지 수정
- #메모리
- #디지털 포렌식
- #포렌식
- 4차 산업혁명
- #DEFT
- #Security
- #Forensic
- #Forensic Tools
- #EnCase
- #WinPmem
- #Pmem
- Fin Tech
- #010 Editor
- #FTK
- #캐시
- #GRR
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |