SlideShare a Scribd company logo

악성코드와 분석 방법

Youngjun Chang
Youngjun Chang
Technology
1 of 57
Download to read offline
ASEC Unit. 악성코드와 분석 방법론 ㈜안철수연구소 시큐리티대응센터(ASEC) 장 영 준 연구원
2 Ⅰ. 악성코드 개요 Ⅱ. 악성코드 분석 Ⅲ. 맺음말 목 차
3 Ⅰ. 악성코드 개요 1. 악성코드 정의 2. 악성코드 분류 3. 악성코드 사례 4. 감염 경로
4  Fred Cohen, “Computer Viruses – Theory and Experience”, 1984 – We define a computer ‘virus’ as a program can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself. With the infection property, a virus can spread throughout a computer system or network using the authorizations of every user using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows.  Lawrence E. Bassham & W. Timothy Polk, “Treat Assessment of Malicious Code and Human Threats”, 1992. – The following are necessary characteristics of a virus • Replication • Requires a host program as a carrier • Activated by external action • Replication limited to (virtual) system 1.악성코드 정의 (1/2)
5 악성코드 정의  악성코드는 '악의적인 목적을 위해 작성된 실행 가능한 코드‘ 이 다. 실행 가능한 코드는 프로그램, 매크로, 스크립트 뿐만 아니라 취약 점을 이용한 데이터 형태들도 포함한다. 형태에 따라서 바이러스, 웜, 트로이 목마로 분류되고 있다.  The Malware (for "malicious software") is any program or file that is harmful to a computer user. Thus, malware includes computer Viruses, Worms, Trojan Horses, and also SpyWare, programming that gathers information about a computer user without permission. 1.악성코드 정의 (2/2)
6 2.악성코드 분류 (1/5) 바이러스 (Virus) 바이러스는 일반적으로 감염대상이 되는 프로그램 또는 코드에 바이러스 자신의 코드 및 변형 코드를 감염시키며 컴퓨터 시스템 내부에서 확산된다.
7 웜 (Worm) 웜은 컴퓨터 내부의 기억장소에 코드 형태 또는 컴퓨터 내부 실행파일 형태로 존재한다. 실행 시 파일이나 코드 자체를 네트워크와 전자우편 등을 통해 다른 시스템으로 자기 복제를 시도하는 형태이다. 2.악성코드 분류 (2/5)
8 트로이목마 (Trojan Horse) 트로이 목마는 자기 자신을 복제하지 않지만 악의적 기능을 포함하는 프로그램이나 악의적 목적에 적극적으로 활용되는 프로그램이나 데이터를 통칭한다. 2.악성코드 분류 (3/5)
9  기타 스파이웨어 (Spyware) 유해가능 프로그램 중 사용자가 정확한 용도를 모르고 설치하여 사용자를 불편하게 하거나 사생활을 침해 할 수 있는 유형 애드웨어 (Adware) 유해가능 프로그램 중 사용자의 동의를 구하지 않고 광고를 목적으로 실행되는 유형 훅스 (Hoax) 실제로 존재하지 않지만 사용자들로 하여금 믿게 하기 위하여 정상파일을 악성코드로 속이는 유형 조크 (Joke) 장난을 목적으로 제작된 프로그램이지만 사용자에게 심리적 불안감을 조장하는 유형 2.악성코드 분류 (4/5)
10 * 바이러스/트로이목마/웜 특성 비교 특성 종류 자기 복제 감염 대상 형 태 복구방법 바이러스 기생/겹침 치료 트로이목마 독립 삭제 웜 독립 삭제 ※ 악성코드 분류의 기준이 점점 모호해짐 O O X X O X 2.악성코드 분류 (5/5)
11 도스 바이러스  Brain (1988, 최초, 부트, 파키스탄, 컴퓨터 속도 저하 )  예루살렘 (파일, 13일의 금요일에 파일 삭제)  미켈란젤로 (부트, 매년 3월 6일 파일 파괴) Win16 (Windows 3.1) 바이러스  WinVir 1.4 (1992, 최초, 비상주형, 문자열 존재 ”Virus_for_Windows v1.4” )  Win16/Tentacle, Win16/Tentacle.II (1996, 비상주형) Win9x 계열 바이러스  Win95/Boza (1996, 최초, 비상주형)  Win95/CIH (1998, VXD 이용한 상주형, IFSMGR 함수, 롬바이오스 삭제)  Win95/Scorpion (1998, 국내제작) Win32 계열 바이러스  Window 95 이상의 9x/NT 환경에서 동작함  Win32/FunLove, Win32/Nimda, Win32/Klez 3.악성코드 사례 (1/6)
12 부트 바이러스  부트섹터 감염  Brain, Monkey, Anti-CMOS 등 파일 바이러스  COM, EXE 실행파일 감염  예루살렘, Sunday, Scorpion, Crow, Win95/CIH 등 부트 / 파일 바이러스  부트섹터, 파일 모두 감염  Invader(1990), 안락사(Euthanasia), Ebola(1998) 등 매크로 바이러스  엑셀과 워드 파일 감염  XM/Laroux 3.악성코드 사례 (2/6)
13 이 름 포 트 감염 방법 취약점 비 고 CodeRed (2001) TCP 80 1. 인덱스 서비스 취약점 공격 CVE-2001-0500 CVE-2001-0506 매달 1-19일에는 스캔, 20일후 에는 특정사이트에 DoS Attack Nimda (2001) TCP 25 TCP 80 TCP 139 TCP 445 1. 전자 메일을 이용한 전파 2. 네트워크 공유 폴더를 이용한 전파 3. 윈도우 IIS 취약점 공격 CVE-2001-0154 1. eml 혹은 nws 파일을 생성 Slammer (2003) UDP 1434 1. MS-SQL의 취약점 공격 2. 메모리 상주 CAN-2002-0649 376 bytes의 한 개 Packet으로 짜여진 웜, Header를 포함하면 404 bytes. Blaster (2003) TCP 135 TCP 4444 UDP 69 1. RPC DCOM 취약점 공격 2.웜 본체 전송 3.웜 실행 CAN-2003-0352 1.IP generation (40% 는 C클래스 로컬 IP, 60%는 랜덤) 2. Generate된 IP부터 순서적인 20개의 IP에 스캔 Sasser (2004) TCP 445 TCP 5554 TCP 9996 1.LSASS 취약점을 공격 2. TCP 9996 포트 오픈 CAN-2003-0533 공격 패킷으로 인한 시스템 종료 현상 발생 Korgo (2004) TCP 445 TCP 2041 TCP 6667 1. LSASS 취약점을 공격 2. 웜 본체 전송 3. 웜 실행 CAN-2003-0533 정상 프로세스인 Exploer.exe 에 RemoteThread 로 인젝션 되어 실행 및 외부 네트워크 공격 3.악성코드 사례 (3/6)
14  35만 대 이상의 서버가 감염  약 26억 달러의 복구비용. CodeRed (2001)  8백 3십만 대 이상의 서버가 감염  약 5억 9천만 달러의 재정 손실 발생  7000군데 이상 감염피해 Nimda (2001)  인터넷 대란 발생(2005.01.23)  한국의 주요 ISP서비스가 9시간여 동안 중단됨. Slammer (2003) 3.악성코드 사례 (4/6)
15  Trojan Horse  Win-Trojan/HangHack, Win-Trojan/LineageHack  Win-Trojan/NetDevil, Win-Trojan/BackOrifice, Win-Trojan/NetBus 등 3.악성코드 사례 (5/6)
16  기타  Win-Addware/Shortcur-INBEE, Win-Spyware/Look2Me,  Win-Joke/Ghost 3.악성코드 사례 (6/6)
17 감염 경로 1. Internet - www, FTP, Telnet - E-mail - News Group 3. System 장치 - FDD, CDROM - Modem 2. LAN - C/S - P2P www, FTP E-mail Run, Copy, Download C/S, P2P 감염 4.감염 경로
18 Ⅱ. 악성코드 분석 1. 사전 지식 2. 분석 도구 3. 정적 분석 4. 동적 분석
19  분석도구 사용법  기본 툴 (HexEditor, ProcessExplorer, PEID, Dependency Walker 등)  모니터링 툴 (FileMon, RegMon, TcpViewer, Analyzer, Ethereal 등)  디버깅 / 디스어셈블 툴 (OllyDbg, IDA, WinDbg, SoftIce, Wdasm 등)  운영체제 / 통신 기본지식  Process / Thread, 가상메모리, MemoryMapping, DLL, 서비스 프로세스, Kernel Object, Structured Exception Handlling, Synchronization Object 등  TCP / UDP 프로토콜, 통신 프로그램 구조, 소켓 통신 함수 socket, bind, listen, connect accept 등 1.사전 지식 (1/7)
20  Program Language  Assembly Language, Visual C++, Visual Basic, Delphi, Jscript, VBScript, ASP, Perl 등  StartUp Code  프로그램 언어 / 컴파일러 종류별 Startup Code (Assembly Language 제외)  사용자가 작성한 메인 코드부분이 실행되기 이전에 초기화 부분 담당 [메인 덧셈 프로그램] [StartUp Code] 1.사전 지식 (2/7)
21  실행파일 구조  COM, EXE, NE 등 윈도우 시스템에서 실행 가능한 PE 파일들의 구조 1.사전 지식 (3/7)
22  실행압축  분석지연 및 방해, 안티 바이러스 프로그램의 진단 우회, 다양한 변형제작 목적 [실행압축 종류] 1.사전 지식 (4/7)
23  실행압축  다양한 AntiDebugging 기법 적용 [실행압축 이전 OEP] [실행압축 이후 OEP] 1.사전 지식 (5/7)
24  AhnLab ASEC 악성코드 분석 교육 프로그램 일정 1.사전 지식 (6/7)
25 동적 분석  정적 분석  파일유형 판단  문자열 추출 및 분석  파일 등록 정보 활용  샘플 접수 정보 활용  전 이미지 정보 수집  샘플 실행  후 이미지 정보 수집  증상 정보 분석  증상 정보 추가 분석  각종 정보 수집  로그 정보 수집 / 분석  디스어셈블 분 석  상세 디버깅  엔진 반영 여부 결정  진단시그니쳐 및 함수 작성  분석정보 작성 외형 분석 증상 분석 자료 분석 상세 분석 엔진 반영 분 석 과 정 1.사전 지식 (7/7)
26 Frhed HexaEditor  Hexa Editor  www.kibria.de UltraEdit  Hexa Editor  www.ultraedit.com 2.분석 도구 (1/8)
27 Process Explorer  프로세스, Thread, DLL 실행 정보  www.sysinternals.com Dependency Walker  DLL, Export 함수 정보  www.microsoft.com 2.분석 도구 (2/8)
28 FileMon  파일시스템 변경 모니터링  www.sysinternals.com RegMon  레지스트리 변경 모니터링  www.sysinternals.com 2.분석 도구 (3/8)
29 TcpView  통신 포트 모니터링  www.sysinternals.com Active Ports  통신 포트 모니터링 www.protect-me.com 2.분석 도구 (4/8)
30 Analyzer  네트워크 패킷 캡쳐  www.analyzer.polito.it Ethereal  네트워크 패킷 캡쳐  www.ethereal.com 2.분석 도구 (5/8)
31 LordPE  실행 프로세스 Dump 및 PE Rebuld  y0da.cjb.net PEiD  PE 정보 획득  peid.has.it 2.분석 도구 (6/8)
32 OllyDbg  범용 디버거  www.ollydbg.de IDA  디스어셈블러  www.datarescue.com 2.분석 도구 (7/8)
33 WinDbg  User / Kernel mode 디버거  www.microsoft.com SoftIce  User / Kernel mode 디버거  www.compuware.com 2.분석 도구 (8/8)
34  증상 분석 [CPU / 프로세스] Thread 생성 3.동적 분석 (1/5)
35  증상 분석 [파일] 3.동적 분석 (2/5)
36  증상 분석 [레지스트리] 3.동적 분석 (3/5)
37  증상 분석 [포트] 3.동적 분석 (4/5)
38  증상 분석 [네트워크] 3.동적 분석 (5/5)
39  Win32/Korgo.worm 상세분석 [Entry Point - UPX] - 악성코드가 UPX로 Packing - UnPack 루틴 디버깅 [OEP JMP 부분] - UPX Unpack 후 OEP로 JMP 코드 3.정적 분석 (1/13)
40  Win32/Korgo.worm 상세분석 [MSVC Startup Code] - Visual C++로 제작 - MSVCRT StartUp 코드를 알아야 함 [사용자 Main함수로 JMP 부분] - 사용자 Main 함수로 JMP 3.정적 분석 (2/13)
41  Win32/Korgo.worm 상세분석 시스템 폴더에 랜덤한 파일명의 DLL (UPX Pack) 생성 3.정적 분석 (3/13)
42  Win32/Korgo.worm의 DLL 상세분석 [DllMain 부분 1] 3.정적 분석 (4/13)
43  Win32/Korgo.worm의 DLL 상세분석 [DllMain 부분 2] 3.정적 분석 (5/13)
44  Win32/Korgo.worm의 DLL 상세분석 [DLL Injection 부분] 3.정적 분석 (6/13)
45  Win32/Korgo.worm의 DLL 상세분석 [레지스트리 등록, 인젝션 후 동작 부분] 3.정적 분석 (7/13)
46 [Accept Thread, 접속 성공시 웜 본체 전송] 3.정적 분석 (8/13)  Win32/Korgo.worm의 DLL 상세분석
47 [인터넷을 통한 파일 다운로드] 3.정적 분석 (9/13)  Win32/Korgo.worm의 DLL 상세분석
48 [취약점 스캔 / 공격 1] 3.정적 분석 (10/13)  Win32/Korgo.worm의 DLL 상세분석
49  Win32/Korgo.worm의 DLL 상세분석 3.정적 분석 (11/13) [취약점 스캔 / 공격 2]
50  Win32/Korgo.worm의 DLL 상세분석 3.상세 분석 (12/13) [취약점 스캔 / 공격 3]
51  Win32/Korgo.worm의 DLL 상세분석 [프로세스 강제 종료] 3.상세 분석 (12/13)
52 Ⅲ. 맺음말 1. 사전대응 중요성 2. 악성코드 미래 3. 분석기술 미래 4. Reference
53 취약점 취약점 공격코드 악성코드 악성코드 긴급 악성코드 엔진 엔진 고객 발견 패치 발표 발견 출현 샘플 입수 대응 분석 제작 업로드 업데이트 시간이 지날 수록 고객 피해는 급격히 증가됨 시간 경과 1.사전 대응 중요성
54 1995 2000 2003 2005 200? Password guessing Self-replicating code Exploiting Known Vulnerability Moris Worm Password cracking Hijacking sessions Backdoor Packet spoofing Denial of service Automated probes/scansCIH Stealth Happy99 Worm WWW Atack CodeRed Nimda DDOS Attack SQL Slammer Blaster Sasser Korgo Zeroday Attack Future Malware 2.악성코드 미래
55 2000 2005 20?? Tool Analysis Manual Analysis ?DNA Analysis Automatic Analysis 2.분석기술 미래
56 AhnLab 웹 사이트 (www.ahnlab.com) NCSC 웹 사이트 (www.ncsc.go.kr) KISA 웹 사이트 (www.kisa.or.kr) KrCert 웹 사이트 (www.krcert.or.kr) 악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 The Art of Computer Virus Research and Defense - Peter Szor 윈도우 인터널즈 Fourth Edition - Mark E. Russinovich & David A. Solomon Programming Applications for Microsoft Windows Fourth Edition - Jeffrey Ritcher Programming the Microsoft Windows Driver Model - Walter Oney 소프트웨어 보안 – Greg Hoglund & Gary McGrew Hacker Dissembling Uncovered - Kris Kaspersky Hacker Debugging Uncovered - Kris Kaspersky Reversing (Secrets of Reverse Engineering) – Eldad Eilam 4. Reference  Reference Web-Sites  Reference Anti-Virus Books  Reference Analysis Books
57 Q&A Thanks for your attention

Recommended

Malware.pptx
Malware.pptxMalware.pptx
Malware.pptxRupaliTasnimSamad
 
Wannacry
WannacryWannacry
WannacryGunther Clauwaert
 
Ransomware
RansomwareRansomware
RansomwareNick Miller
 
Security Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramSecurity Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramOpenDNS
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityNithin Raj
 
Scanning web vulnerabilities
Scanning web vulnerabilitiesScanning web vulnerabilities
Scanning web vulnerabilitiesMohit Dholakiya
 
zero day exploits
zero day exploitszero day exploits
zero day exploitsAdv. Prashant Mali ♛ [Bsc(Phy),MSc(Comp Sci), CCFP,CISSA,LLM]
 
Ransomware
RansomwareRansomware
Ransomwarem3 Networks Limited
 

Recommended

Malware.pptx
Malware.pptxMalware.pptx
Malware.pptxRupaliTasnimSamad
 
Wannacry
WannacryWannacry
WannacryGunther Clauwaert
 
Ransomware
RansomwareRansomware
RansomwareNick Miller
 
Security Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramSecurity Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramOpenDNS
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityNithin Raj
 
Scanning web vulnerabilities
Scanning web vulnerabilitiesScanning web vulnerabilities
Scanning web vulnerabilitiesMohit Dholakiya
 
zero day exploits
zero day exploitszero day exploits
zero day exploitsAdv. Prashant Mali ♛ [Bsc(Phy),MSc(Comp Sci), CCFP,CISSA,LLM]
 
Ransomware
RansomwareRansomware
Ransomwarem3 Networks Limited
 
Ransomware
RansomwareRansomware
RansomwareDeepakKumar4980
 
Cloud computing virtualization
Cloud computing virtualizationCloud computing virtualization
Cloud computing virtualizationAyaz Shahid
 
Spyware
SpywareSpyware
SpywareIshita Bansal
 
spyware
spywarespyware
spywareNamanKikani
 
랜섬웨어
랜섬웨어랜섬웨어
랜섬웨어JihyeonLee01
 
Azure Penetration Testing
Azure Penetration TestingAzure Penetration Testing
Azure Penetration TestingCheah Eng Soon
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & HoneynetsMehdi Poustchi Amin
 
Apple File System
Apple File SystemApple File System
Apple File SystemArpana Yadav
 
Proxy Servers & Firewalls
Proxy Servers & FirewallsProxy Servers & Firewalls
Proxy Servers & FirewallsMehdi Poustchi Amin
 
Endpoint Protection
Endpoint ProtectionEndpoint Protection
Endpoint ProtectionSophos
 
B&W Netsparker overview
B&W Netsparker overviewB&W Netsparker overview
B&W Netsparker overviewMarusya Maruzhenko
 
WLAN Attacks and Protection
WLAN Attacks and ProtectionWLAN Attacks and Protection
WLAN Attacks and ProtectionChandrak Trivedi
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS AttacksJignesh Patel
 
Nessus Software
Nessus SoftwareNessus Software
Nessus SoftwareMegha Sahu
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinelMarius Sandbu
 
Honeypots for Network Security
Honeypots for Network SecurityHoneypots for Network Security
Honeypots for Network SecurityKirubaburi R
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
Introduction to Malware
Introduction to MalwareIntroduction to Malware
Introduction to Malwareamiable_indian
 
Denail of Service
Denail of ServiceDenail of Service
Denail of ServiceRamasubbu .P
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 

More Related Content

What's hot

Cloud computing virtualization
Cloud computing virtualizationCloud computing virtualization
Cloud computing virtualizationAyaz Shahid
 
Azure Penetration Testing
Azure Penetration TestingAzure Penetration Testing
Azure Penetration TestingCheah Eng Soon
 
Endpoint Protection
Endpoint ProtectionEndpoint Protection
Endpoint ProtectionSophos
 
WLAN Attacks and Protection
WLAN Attacks and ProtectionWLAN Attacks and Protection
WLAN Attacks and ProtectionChandrak Trivedi
 
Nessus Software
Nessus SoftwareNessus Software
Nessus SoftwareMegha Sahu
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
Honeypots for Network Security
Honeypots for Network SecurityHoneypots for Network Security
Honeypots for Network SecurityKirubaburi R
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
Introduction to Malware
Introduction to MalwareIntroduction to Malware
Introduction to Malwareamiable_indian
 

What's hot (20)

Ransomware
RansomwareRansomware
Ransomware
 
Cloud computing virtualization
Cloud computing virtualizationCloud computing virtualization
Cloud computing virtualization
 
Spyware
SpywareSpyware
Spyware
 
spyware
spywarespyware
spyware
 
랜섬웨어
랜섬웨어랜섬웨어
랜섬웨어
 
Azure Penetration Testing
Azure Penetration TestingAzure Penetration Testing
Azure Penetration Testing
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & Honeynets
 
Apple File System
Apple File SystemApple File System
Apple File System
 
Proxy Servers & Firewalls
Proxy Servers & FirewallsProxy Servers & Firewalls
Proxy Servers & Firewalls
 
Endpoint Protection
Endpoint ProtectionEndpoint Protection
Endpoint Protection
 
B&W Netsparker overview
B&W Netsparker overviewB&W Netsparker overview
B&W Netsparker overview
 
WLAN Attacks and Protection
WLAN Attacks and ProtectionWLAN Attacks and Protection
WLAN Attacks and Protection
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS Attacks
 
Nessus Software
Nessus SoftwareNessus Software
Nessus Software
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinel
 
Honeypots for Network Security
Honeypots for Network SecurityHoneypots for Network Security
Honeypots for Network Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
Introduction to Malware
Introduction to MalwareIntroduction to Malware
Introduction to Malware
 
Denail of Service
Denail of ServiceDenail of Service
Denail of Service
 

Similar to 악성코드와 분석 방법

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석한익 주
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법Youngjun Chang
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석GangSeok Lee
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구Youngjun Chang
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 

Similar to 악성코드와 분석 방법 (20)

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 

More from Youngjun Chang

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)Youngjun Chang
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsYoungjun Chang
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatilityYoungjun Chang
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례Youngjun Chang
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협Youngjun Chang
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론Youngjun Chang
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversingYoungjun Chang
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basicYoungjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkitYoungjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file formatYoungjun Chang
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversingYoungjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호Youngjun Chang
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향Youngjun Chang
 

More from Youngjun Chang (20)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 

악성코드와 분석 방법

  • 1. ASEC Unit. 악성코드와 분석 방법론 ㈜안철수연구소 시큐리티대응센터(ASEC) 장 영 준 연구원
  • 2. 2 Ⅰ. 악성코드 개요 Ⅱ. 악성코드 분석 Ⅲ. 맺음말 목 차
  • 3. 3 Ⅰ. 악성코드 개요 1. 악성코드 정의 2. 악성코드 분류 3. 악성코드 사례 4. 감염 경로
  • 4. 4  Fred Cohen, “Computer Viruses – Theory and Experience”, 1984 – We define a computer ‘virus’ as a program can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself. With the infection property, a virus can spread throughout a computer system or network using the authorizations of every user using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows.  Lawrence E. Bassham & W. Timothy Polk, “Treat Assessment of Malicious Code and Human Threats”, 1992. – The following are necessary characteristics of a virus • Replication • Requires a host program as a carrier • Activated by external action • Replication limited to (virtual) system 1.악성코드 정의 (1/2)
  • 5. 5 악성코드 정의  악성코드는 '악의적인 목적을 위해 작성된 실행 가능한 코드‘ 이 다. 실행 가능한 코드는 프로그램, 매크로, 스크립트 뿐만 아니라 취약 점을 이용한 데이터 형태들도 포함한다. 형태에 따라서 바이러스, 웜, 트로이 목마로 분류되고 있다.  The Malware (for "malicious software") is any program or file that is harmful to a computer user. Thus, malware includes computer Viruses, Worms, Trojan Horses, and also SpyWare, programming that gathers information about a computer user without permission. 1.악성코드 정의 (2/2)
  • 6. 6 2.악성코드 분류 (1/5) 바이러스 (Virus) 바이러스는 일반적으로 감염대상이 되는 프로그램 또는 코드에 바이러스 자신의 코드 및 변형 코드를 감염시키며 컴퓨터 시스템 내부에서 확산된다.
  • 7. 7 웜 (Worm) 웜은 컴퓨터 내부의 기억장소에 코드 형태 또는 컴퓨터 내부 실행파일 형태로 존재한다. 실행 시 파일이나 코드 자체를 네트워크와 전자우편 등을 통해 다른 시스템으로 자기 복제를 시도하는 형태이다. 2.악성코드 분류 (2/5)
  • 8. 8 트로이목마 (Trojan Horse) 트로이 목마는 자기 자신을 복제하지 않지만 악의적 기능을 포함하는 프로그램이나 악의적 목적에 적극적으로 활용되는 프로그램이나 데이터를 통칭한다. 2.악성코드 분류 (3/5)
  • 9. 9  기타 스파이웨어 (Spyware) 유해가능 프로그램 중 사용자가 정확한 용도를 모르고 설치하여 사용자를 불편하게 하거나 사생활을 침해 할 수 있는 유형 애드웨어 (Adware) 유해가능 프로그램 중 사용자의 동의를 구하지 않고 광고를 목적으로 실행되는 유형 훅스 (Hoax) 실제로 존재하지 않지만 사용자들로 하여금 믿게 하기 위하여 정상파일을 악성코드로 속이는 유형 조크 (Joke) 장난을 목적으로 제작된 프로그램이지만 사용자에게 심리적 불안감을 조장하는 유형 2.악성코드 분류 (4/5)
  • 10. 10 * 바이러스/트로이목마/웜 특성 비교 특성 종류 자기 복제 감염 대상 형 태 복구방법 바이러스 기생/겹침 치료 트로이목마 독립 삭제 웜 독립 삭제 ※ 악성코드 분류의 기준이 점점 모호해짐 O O X X O X 2.악성코드 분류 (5/5)
  • 11. 11 도스 바이러스  Brain (1988, 최초, 부트, 파키스탄, 컴퓨터 속도 저하 )  예루살렘 (파일, 13일의 금요일에 파일 삭제)  미켈란젤로 (부트, 매년 3월 6일 파일 파괴) Win16 (Windows 3.1) 바이러스  WinVir 1.4 (1992, 최초, 비상주형, 문자열 존재 ”Virus_for_Windows v1.4” )  Win16/Tentacle, Win16/Tentacle.II (1996, 비상주형) Win9x 계열 바이러스  Win95/Boza (1996, 최초, 비상주형)  Win95/CIH (1998, VXD 이용한 상주형, IFSMGR 함수, 롬바이오스 삭제)  Win95/Scorpion (1998, 국내제작) Win32 계열 바이러스  Window 95 이상의 9x/NT 환경에서 동작함  Win32/FunLove, Win32/Nimda, Win32/Klez 3.악성코드 사례 (1/6)
  • 12. 12 부트 바이러스  부트섹터 감염  Brain, Monkey, Anti-CMOS 등 파일 바이러스  COM, EXE 실행파일 감염  예루살렘, Sunday, Scorpion, Crow, Win95/CIH 등 부트 / 파일 바이러스  부트섹터, 파일 모두 감염  Invader(1990), 안락사(Euthanasia), Ebola(1998) 등 매크로 바이러스  엑셀과 워드 파일 감염  XM/Laroux 3.악성코드 사례 (2/6)
  • 13. 13 이 름 포 트 감염 방법 취약점 비 고 CodeRed (2001) TCP 80 1. 인덱스 서비스 취약점 공격 CVE-2001-0500 CVE-2001-0506 매달 1-19일에는 스캔, 20일후 에는 특정사이트에 DoS Attack Nimda (2001) TCP 25 TCP 80 TCP 139 TCP 445 1. 전자 메일을 이용한 전파 2. 네트워크 공유 폴더를 이용한 전파 3. 윈도우 IIS 취약점 공격 CVE-2001-0154 1. eml 혹은 nws 파일을 생성 Slammer (2003) UDP 1434 1. MS-SQL의 취약점 공격 2. 메모리 상주 CAN-2002-0649 376 bytes의 한 개 Packet으로 짜여진 웜, Header를 포함하면 404 bytes. Blaster (2003) TCP 135 TCP 4444 UDP 69 1. RPC DCOM 취약점 공격 2.웜 본체 전송 3.웜 실행 CAN-2003-0352 1.IP generation (40% 는 C클래스 로컬 IP, 60%는 랜덤) 2. Generate된 IP부터 순서적인 20개의 IP에 스캔 Sasser (2004) TCP 445 TCP 5554 TCP 9996 1.LSASS 취약점을 공격 2. TCP 9996 포트 오픈 CAN-2003-0533 공격 패킷으로 인한 시스템 종료 현상 발생 Korgo (2004) TCP 445 TCP 2041 TCP 6667 1. LSASS 취약점을 공격 2. 웜 본체 전송 3. 웜 실행 CAN-2003-0533 정상 프로세스인 Exploer.exe 에 RemoteThread 로 인젝션 되어 실행 및 외부 네트워크 공격 3.악성코드 사례 (3/6)
  • 14. 14  35만 대 이상의 서버가 감염  약 26억 달러의 복구비용. CodeRed (2001)  8백 3십만 대 이상의 서버가 감염  약 5억 9천만 달러의 재정 손실 발생  7000군데 이상 감염피해 Nimda (2001)  인터넷 대란 발생(2005.01.23)  한국의 주요 ISP서비스가 9시간여 동안 중단됨. Slammer (2003) 3.악성코드 사례 (4/6)
  • 15. 15  Trojan Horse  Win-Trojan/HangHack, Win-Trojan/LineageHack  Win-Trojan/NetDevil, Win-Trojan/BackOrifice, Win-Trojan/NetBus 등 3.악성코드 사례 (5/6)
  • 16. 16  기타  Win-Addware/Shortcur-INBEE, Win-Spyware/Look2Me,  Win-Joke/Ghost 3.악성코드 사례 (6/6)
  • 17. 17 감염 경로 1. Internet - www, FTP, Telnet - E-mail - News Group 3. System 장치 - FDD, CDROM - Modem 2. LAN - C/S - P2P www, FTP E-mail Run, Copy, Download C/S, P2P 감염 4.감염 경로
  • 18. 18 Ⅱ. 악성코드 분석 1. 사전 지식 2. 분석 도구 3. 정적 분석 4. 동적 분석
  • 19. 19  분석도구 사용법  기본 툴 (HexEditor, ProcessExplorer, PEID, Dependency Walker 등)  모니터링 툴 (FileMon, RegMon, TcpViewer, Analyzer, Ethereal 등)  디버깅 / 디스어셈블 툴 (OllyDbg, IDA, WinDbg, SoftIce, Wdasm 등)  운영체제 / 통신 기본지식  Process / Thread, 가상메모리, MemoryMapping, DLL, 서비스 프로세스, Kernel Object, Structured Exception Handlling, Synchronization Object 등  TCP / UDP 프로토콜, 통신 프로그램 구조, 소켓 통신 함수 socket, bind, listen, connect accept 등 1.사전 지식 (1/7)
  • 20. 20  Program Language  Assembly Language, Visual C++, Visual Basic, Delphi, Jscript, VBScript, ASP, Perl 등  StartUp Code  프로그램 언어 / 컴파일러 종류별 Startup Code (Assembly Language 제외)  사용자가 작성한 메인 코드부분이 실행되기 이전에 초기화 부분 담당 [메인 덧셈 프로그램] [StartUp Code] 1.사전 지식 (2/7)
  • 21. 21  실행파일 구조  COM, EXE, NE 등 윈도우 시스템에서 실행 가능한 PE 파일들의 구조 1.사전 지식 (3/7)
  • 22. 22  실행압축  분석지연 및 방해, 안티 바이러스 프로그램의 진단 우회, 다양한 변형제작 목적 [실행압축 종류] 1.사전 지식 (4/7)
  • 23. 23  실행압축  다양한 AntiDebugging 기법 적용 [실행압축 이전 OEP] [실행압축 이후 OEP] 1.사전 지식 (5/7)
  • 24. 24  AhnLab ASEC 악성코드 분석 교육 프로그램 일정 1.사전 지식 (6/7)
  • 25. 25 동적 분석  정적 분석  파일유형 판단  문자열 추출 및 분석  파일 등록 정보 활용  샘플 접수 정보 활용  전 이미지 정보 수집  샘플 실행  후 이미지 정보 수집  증상 정보 분석  증상 정보 추가 분석  각종 정보 수집  로그 정보 수집 / 분석  디스어셈블 분 석  상세 디버깅  엔진 반영 여부 결정  진단시그니쳐 및 함수 작성  분석정보 작성 외형 분석 증상 분석 자료 분석 상세 분석 엔진 반영 분 석 과 정 1.사전 지식 (7/7)
  • 26. 26 Frhed HexaEditor  Hexa Editor  www.kibria.de UltraEdit  Hexa Editor  www.ultraedit.com 2.분석 도구 (1/8)
  • 27. 27 Process Explorer  프로세스, Thread, DLL 실행 정보  www.sysinternals.com Dependency Walker  DLL, Export 함수 정보  www.microsoft.com 2.분석 도구 (2/8)
  • 28. 28 FileMon  파일시스템 변경 모니터링  www.sysinternals.com RegMon  레지스트리 변경 모니터링  www.sysinternals.com 2.분석 도구 (3/8)
  • 29. 29 TcpView  통신 포트 모니터링  www.sysinternals.com Active Ports  통신 포트 모니터링 www.protect-me.com 2.분석 도구 (4/8)
  • 30. 30 Analyzer  네트워크 패킷 캡쳐  www.analyzer.polito.it Ethereal  네트워크 패킷 캡쳐  www.ethereal.com 2.분석 도구 (5/8)
  • 31. 31 LordPE  실행 프로세스 Dump 및 PE Rebuld  y0da.cjb.net PEiD  PE 정보 획득  peid.has.it 2.분석 도구 (6/8)
  • 32. 32 OllyDbg  범용 디버거  www.ollydbg.de IDA  디스어셈블러  www.datarescue.com 2.분석 도구 (7/8)
  • 33. 33 WinDbg  User / Kernel mode 디버거  www.microsoft.com SoftIce  User / Kernel mode 디버거  www.compuware.com 2.분석 도구 (8/8)
  • 34. 34  증상 분석 [CPU / 프로세스] Thread 생성 3.동적 분석 (1/5)
  • 39. 39  Win32/Korgo.worm 상세분석 [Entry Point - UPX] - 악성코드가 UPX로 Packing - UnPack 루틴 디버깅 [OEP JMP 부분] - UPX Unpack 후 OEP로 JMP 코드 3.정적 분석 (1/13)
  • 40. 40  Win32/Korgo.worm 상세분석 [MSVC Startup Code] - Visual C++로 제작 - MSVCRT StartUp 코드를 알아야 함 [사용자 Main함수로 JMP 부분] - 사용자 Main 함수로 JMP 3.정적 분석 (2/13)
  • 41. 41  Win32/Korgo.worm 상세분석 시스템 폴더에 랜덤한 파일명의 DLL (UPX Pack) 생성 3.정적 분석 (3/13)
  • 42. 42  Win32/Korgo.worm의 DLL 상세분석 [DllMain 부분 1] 3.정적 분석 (4/13)
  • 43. 43  Win32/Korgo.worm의 DLL 상세분석 [DllMain 부분 2] 3.정적 분석 (5/13)
  • 44. 44  Win32/Korgo.worm의 DLL 상세분석 [DLL Injection 부분] 3.정적 분석 (6/13)
  • 45. 45  Win32/Korgo.worm의 DLL 상세분석 [레지스트리 등록, 인젝션 후 동작 부분] 3.정적 분석 (7/13)
  • 46. 46 [Accept Thread, 접속 성공시 웜 본체 전송] 3.정적 분석 (8/13)  Win32/Korgo.worm의 DLL 상세분석
  • 47. 47 [인터넷을 통한 파일 다운로드] 3.정적 분석 (9/13)  Win32/Korgo.worm의 DLL 상세분석
  • 48. 48 [취약점 스캔 / 공격 1] 3.정적 분석 (10/13)  Win32/Korgo.worm의 DLL 상세분석
  • 49. 49  Win32/Korgo.worm의 DLL 상세분석 3.정적 분석 (11/13) [취약점 스캔 / 공격 2]
  • 50. 50  Win32/Korgo.worm의 DLL 상세분석 3.상세 분석 (12/13) [취약점 스캔 / 공격 3]
  • 51. 51  Win32/Korgo.worm의 DLL 상세분석 [프로세스 강제 종료] 3.상세 분석 (12/13)
  • 52. 52 Ⅲ. 맺음말 1. 사전대응 중요성 2. 악성코드 미래 3. 분석기술 미래 4. Reference
  • 53. 53 취약점 취약점 공격코드 악성코드 악성코드 긴급 악성코드 엔진 엔진 고객 발견 패치 발표 발견 출현 샘플 입수 대응 분석 제작 업로드 업데이트 시간이 지날 수록 고객 피해는 급격히 증가됨 시간 경과 1.사전 대응 중요성
  • 54. 54 1995 2000 2003 2005 200? Password guessing Self-replicating code Exploiting Known Vulnerability Moris Worm Password cracking Hijacking sessions Backdoor Packet spoofing Denial of service Automated probes/scansCIH Stealth Happy99 Worm WWW Atack CodeRed Nimda DDOS Attack SQL Slammer Blaster Sasser Korgo Zeroday Attack Future Malware 2.악성코드 미래
  • 55. 55 2000 2005 20?? Tool Analysis Manual Analysis ?DNA Analysis Automatic Analysis 2.분석기술 미래
  • 56. 56 AhnLab 웹 사이트 (www.ahnlab.com) NCSC 웹 사이트 (www.ncsc.go.kr) KISA 웹 사이트 (www.kisa.or.kr) KrCert 웹 사이트 (www.krcert.or.kr) 악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 The Art of Computer Virus Research and Defense - Peter Szor 윈도우 인터널즈 Fourth Edition - Mark E. Russinovich & David A. Solomon Programming Applications for Microsoft Windows Fourth Edition - Jeffrey Ritcher Programming the Microsoft Windows Driver Model - Walter Oney 소프트웨어 보안 – Greg Hoglund & Gary McGrew Hacker Dissembling Uncovered - Kris Kaspersky Hacker Debugging Uncovered - Kris Kaspersky Reversing (Secrets of Reverse Engineering) – Eldad Eilam 4. Reference  Reference Web-Sites  Reference Anti-Virus Books  Reference Analysis Books