[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발GangSeok Lee
2011 CodeEngn Conference 05
FileVirus(FV)는 정상파일들을 악성코드로 감염시키기는 감염형 바이러스이다. FV는 일반적인 바이러스 치료방법(삭제)보다는 원래의 정상파일로 복원하여 치료해야한다. 이에 본 발표에서는 치료로직 개발에 필요한 FV 감염구조들에 대해 알아보고, 각 감염구조에 따른 악성코드 분석 및 치료로직 개발 방법에 대해 알아보도록 한다.
http://codeengn.com/conference/05
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
2011 CodeEngn Conference 05
1989년 국산 부트 바이러스인 LBC 바이러스에 감염되어 하드디스크 부팅이 안되는 문제가 전국에서 발생했다. 이렇게 부팅 문제가 발생할 수 있는 부트 바이러스는 윈도우 95가 본격 보급되기 시작한 1990년 대 중반까지 쉽게 볼 수 있었다. 이후 윈도우 시대가 본격 열리고 플로피 디스크 사용이 줄어들면서 사실상사라진다. 하지만, 최근 기억속에 잊혀진 부트 바이러스가 윈도우 시대에 맞게 변화해 부활의 조짐이 있다. 대표적 디스크입출력 악성코드를 정리해보고 이를 가능하게 한 도스와 윈도우 부팅과정 및 윈도우 프로그램에서 디스크 입출력 방법을 알아보자.
http://codeengn.com/conference/05
2014 CodeEngn Conference 11
안드로이드에서의 부트킷 동작방식 알아보기
부트킷 악성코드는 부팅 과정에서 악성코드를 감염시켜 악성코드가 실행 시 자신의 존재를 숨겨 백신에서 악성코드의 탐지와 치료를 어렵게 하기위해 사용되는 방식이다. 이러한 Oldboot 부트킷 악성코드가 올해초 2014년 1월에 안드로이드에서 발견되었다. 따라서 본 발표에서는 이 안드로이드 상에서 사용된 부트킷의 동작 방식과 특이점에 대해서 다룰 예정이다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석GangSeok Lee
2014 CodeEngn Conference 11
DTrace를 보안 관점에서 활용해보자!
DTrace 프레임워크는 솔라리스 기반으로 개발된 동적 추적 프레임워크로 현재 Solaris, Mac OS X, BSD 등에 적용되고 있다. 프레임워크는 운영체제 개발 시점에 커널에 통합된 프레임워크로 사용자 및 커널 레벨의 다양한 정보(메모리나 CPU, 파일시스템, 네트워크 자원의 모니터링이나 특정 함수의 인자 추적 등)를 동적으로 분석할 수 있게 하여 애플리케이션 테스팅에 주로 활용되고 있다. 이러한 장점을 활용하여 최근에는 보안 관점에서 프레임워크를 사용하는 경우가 늘어나고 있다. 퍼징 모니터링이나, 바이너리 동적 분석과 같은 취약점 분석, 악성코드 동적 분석, 루트킷 개발이 한 예이다. 본 발표에서는 DTrace가 무엇인지 살펴보고, 윈도우의 filemon의 기능을 구현해보도록 한다. 이 발표를 통해 분석가에게 생소할 수 있는 Mac OS X의 바이너리 분석에 도움이 될 것이라 생각한다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발GangSeok Lee
2011 CodeEngn Conference 05
FileVirus(FV)는 정상파일들을 악성코드로 감염시키기는 감염형 바이러스이다. FV는 일반적인 바이러스 치료방법(삭제)보다는 원래의 정상파일로 복원하여 치료해야한다. 이에 본 발표에서는 치료로직 개발에 필요한 FV 감염구조들에 대해 알아보고, 각 감염구조에 따른 악성코드 분석 및 치료로직 개발 방법에 대해 알아보도록 한다.
http://codeengn.com/conference/05
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
2011 CodeEngn Conference 05
1989년 국산 부트 바이러스인 LBC 바이러스에 감염되어 하드디스크 부팅이 안되는 문제가 전국에서 발생했다. 이렇게 부팅 문제가 발생할 수 있는 부트 바이러스는 윈도우 95가 본격 보급되기 시작한 1990년 대 중반까지 쉽게 볼 수 있었다. 이후 윈도우 시대가 본격 열리고 플로피 디스크 사용이 줄어들면서 사실상사라진다. 하지만, 최근 기억속에 잊혀진 부트 바이러스가 윈도우 시대에 맞게 변화해 부활의 조짐이 있다. 대표적 디스크입출력 악성코드를 정리해보고 이를 가능하게 한 도스와 윈도우 부팅과정 및 윈도우 프로그램에서 디스크 입출력 방법을 알아보자.
http://codeengn.com/conference/05
2014 CodeEngn Conference 11
안드로이드에서의 부트킷 동작방식 알아보기
부트킷 악성코드는 부팅 과정에서 악성코드를 감염시켜 악성코드가 실행 시 자신의 존재를 숨겨 백신에서 악성코드의 탐지와 치료를 어렵게 하기위해 사용되는 방식이다. 이러한 Oldboot 부트킷 악성코드가 올해초 2014년 1월에 안드로이드에서 발견되었다. 따라서 본 발표에서는 이 안드로이드 상에서 사용된 부트킷의 동작 방식과 특이점에 대해서 다룰 예정이다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석GangSeok Lee
2014 CodeEngn Conference 11
DTrace를 보안 관점에서 활용해보자!
DTrace 프레임워크는 솔라리스 기반으로 개발된 동적 추적 프레임워크로 현재 Solaris, Mac OS X, BSD 등에 적용되고 있다. 프레임워크는 운영체제 개발 시점에 커널에 통합된 프레임워크로 사용자 및 커널 레벨의 다양한 정보(메모리나 CPU, 파일시스템, 네트워크 자원의 모니터링이나 특정 함수의 인자 추적 등)를 동적으로 분석할 수 있게 하여 애플리케이션 테스팅에 주로 활용되고 있다. 이러한 장점을 활용하여 최근에는 보안 관점에서 프레임워크를 사용하는 경우가 늘어나고 있다. 퍼징 모니터링이나, 바이너리 동적 분석과 같은 취약점 분석, 악성코드 동적 분석, 루트킷 개발이 한 예이다. 본 발표에서는 DTrace가 무엇인지 살펴보고, 윈도우의 filemon의 기능을 구현해보도록 한다. 이 발표를 통해 분석가에게 생소할 수 있는 Mac OS X의 바이너리 분석에 도움이 될 것이라 생각한다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
"왕초보의 앱 확장 프로그램 개발 입문하기"
iOS 개발자의 친구, Safari와 Xcode의 확장 프로그램을 써보신 적 있나요? 꼭 Safari와 Xcode가 아니어도 확장 프로그램을 써본 경험은 있을 거예요. 개발하다 필요한 순간에 코드 스냅샷을 찍거나 웹 사이트 번역을 하거나 팝업창을 띄운다던가... 이런 경험들 말이죠.
이러한 사용 경험을 개발 경험으로 바꾼다면 어떨까요?
이 세션에서는 Safari Extension과 Xcode Extension을 만드는 과정을 간단하게 공유해 드리려고 합니다. 과자 먹듯이 가볍게 들어주세요!
-------------
Let's Swift 2022 의 '우당탕탕! Safari Extensiond에서 Xcode Extension까지' 세션의 발표자료입니다.
(2022-11-30)
3. forensicinsight.org
DTrace
•포괄적인 동적 추적 프레임워크
•솔라리스 운영체제를 위해 최초 개발함
•커널 코드에 통합되어 있음
•지원 운영체제
•Solaris 10, Mac OS X 10.5, FreeBSD 7.1,
NetBSD, Linux Kernel(?)
3
6. forensicinsight.org
용어정리
•Provider : 함수 클래스와 유사, syscall의 경우 유닉스
시스템 콜을 의미, 특정 프로세스 ID도 될 수 있으며,
Objective-C의 클래스도 가능
•Module : Provider를 기준으로 정해짐. 모듈이 없다면
생략할 수 있음. 동적 라이브러리(.dylib)도 사용 가능
•Function : 모듈 또는 Provider 내의 함수
•예를 들면 syscall의 open
•Name : Provider에 의해 정해지며, 보통 특정 함수의
실행 시점인 entry와 종료 시점인 return을 가짐
•DTrace 자체의 생성자/소멸자인 BEGIN/END 가능
6
7. forensicinsight.org
용어정리
•Predicate// : 일치 여부를 판단(if)하는 정보
•actions{} : probe에 해당하는 데이터가
predicate를 통과하면 실행
•probe : 동작 중인 소프트웨어에 동적으로
instrumentation 포인트 추가하는 지점
•fire : probe를 활성화하고 코드 흐름에서
instrumented probe point 지점에 도달하면 발생
7
10. forensicinsight.org
추천 스크립트
이름 내용 기본 탑재
execsnoop exec로 실행되는 프로세스 추적 O
iosnoop I/O 추적 O
opensnoop 오픈되는 파일 추적 O
rwsnoop 읽기/쓰기 추적 O
newproc.d 새로 생성되는 프로세스(인자
포함) 추적
O
soconnect_mac.d 네트워크 연결 추적 X
maclife.d 파일 생성/삭제 추적 X
10
11. forensicinsight.org
분석 예제!
(Reference : Digitally signed data-stealing malware targets Mac users in
"undelivered courier item" attack)
•OSX/Laoshu-A
•이메일을 이용한 Spear-phising attack
11
12. forensicinsight.org
분석 예제!
(Reference : Digitally signed data-stealing malware targets Mac users in
"undelivered courier item" attack)
•링크를 통해 zip 파일 다운로드
•Safari의 경우, 알려진 압축 파일 자동 해제
•겉으로 보기에는 PDF 파일
•알려진 확장자 자동 숨김을 이용
•아이콘을 PDF로 설정
•디지털 서명되어 있음
12
15. forensicinsight.org
분석 예제!
(Reference : Digitally signed data-stealing malware targets Mac users in
"undelivered courier item" attack)
•주요 기능
•문서 파일 검색 및 압축
•(DOC,XLS,PPT,DOCX,XLSX,PPTX)
•특정 서버에 업로드
•새로운 파일 다운로드
•커맨드 명령어 실행
•새로운 파일 다운로드 : DTrace 분석 예제
15
16. forensicinsight.org
분석 예제
•OSX/Laoshu-A에서 다운로드하는 악성코드
•MD5(OSX_Update.app/Contents/MacOS/
worty) = ea2045d1344719d95f85ee8a2fcbe0a7
•주요 기능 : 화면을 캡쳐하여 특정 URL에 업로드
•상세 분석 자료 : http://
forensic.n0fate.com/?p=706
16