[2007 CodeEngn Conference 01] 이강석 - Malware Analysis StartGangSeok Lee
2007 CodeEngn Conference 01
악성코드의 정의, 악성코드 분석을 하려고 했을때 공부해야 할 것들 코드의 기본적인 제작방법 루틴 설명 / 발전하는 악성코드 제작 프로그램 악성코드 분석에 앞서 분석환경 구축설명 간단한 악성코드 분석과 발표자가 제작한 AntiVirus 프로그램 설명 악성코드 탐지방법 설명등에 대해서 설명한다.
http://codeengn.com/conference/01
주간 악성 공격 동향 요약
3월 1주차 악성링크는 유포지 8곳, 악성링크 페이로드 4건이 발견되었으며, CK Exploit Kit의 재활동과 안드로이드 악성 APK유포가 포착되었으며 주 유포지는 쇼핑몰, 중소기업, 문화단체, 축산물 사이트로 집계되었고 특정 호스팅업체를 사용하는 사이트들이 대량으로 악성코드를 유포한 정황을 확인했다
[2007 CodeEngn Conference 01] 이강석 - Malware Analysis StartGangSeok Lee
2007 CodeEngn Conference 01
악성코드의 정의, 악성코드 분석을 하려고 했을때 공부해야 할 것들 코드의 기본적인 제작방법 루틴 설명 / 발전하는 악성코드 제작 프로그램 악성코드 분석에 앞서 분석환경 구축설명 간단한 악성코드 분석과 발표자가 제작한 AntiVirus 프로그램 설명 악성코드 탐지방법 설명등에 대해서 설명한다.
http://codeengn.com/conference/01
주간 악성 공격 동향 요약
3월 1주차 악성링크는 유포지 8곳, 악성링크 페이로드 4건이 발견되었으며, CK Exploit Kit의 재활동과 안드로이드 악성 APK유포가 포착되었으며 주 유포지는 쇼핑몰, 중소기업, 문화단체, 축산물 사이트로 집계되었고 특정 호스팅업체를 사용하는 사이트들이 대량으로 악성코드를 유포한 정황을 확인했다
2014 CodeEngn Conference 11
안드로이드에서의 부트킷 동작방식 알아보기
부트킷 악성코드는 부팅 과정에서 악성코드를 감염시켜 악성코드가 실행 시 자신의 존재를 숨겨 백신에서 악성코드의 탐지와 치료를 어렵게 하기위해 사용되는 방식이다. 이러한 Oldboot 부트킷 악성코드가 올해초 2014년 1월에 안드로이드에서 발견되었다. 따라서 본 발표에서는 이 안드로이드 상에서 사용된 부트킷의 동작 방식과 특이점에 대해서 다룰 예정이다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
AppCheck Pro 랜섬웨어 백신은 “상황 인식 기반 랜섬웨어 행위 탐지(Context-awareness based ransomware behavior detection)” 기술이 적용된 캅(CARB)엔진으로 현재까지 발견된 패턴 뿐 아니라 차후 출현 가능한 랜섬웨어까지도 탐지하여 기존 백신의 탐지 및 대응 방식으로는 빠르게 대응할 수 없는 랜섬웨어 위협으로부터 가장 확실하고 안전하게 방어할 수 있습니다
[4th revolution] new technology security education material] android security...james yoo
Interest in mobile security is increasing due to the development of the future environment. Through the diagnostic criteria of mobile security, we have made the diagnostic case for beginners to study and study. I hope it helps many people.
2014 CodeEngn Conference 11
안드로이드에서의 부트킷 동작방식 알아보기
부트킷 악성코드는 부팅 과정에서 악성코드를 감염시켜 악성코드가 실행 시 자신의 존재를 숨겨 백신에서 악성코드의 탐지와 치료를 어렵게 하기위해 사용되는 방식이다. 이러한 Oldboot 부트킷 악성코드가 올해초 2014년 1월에 안드로이드에서 발견되었다. 따라서 본 발표에서는 이 안드로이드 상에서 사용된 부트킷의 동작 방식과 특이점에 대해서 다룰 예정이다.
http://codeengn.com/conference/11
http://codeengn.com/conference/archive
AppCheck Pro 랜섬웨어 백신은 “상황 인식 기반 랜섬웨어 행위 탐지(Context-awareness based ransomware behavior detection)” 기술이 적용된 캅(CARB)엔진으로 현재까지 발견된 패턴 뿐 아니라 차후 출현 가능한 랜섬웨어까지도 탐지하여 기존 백신의 탐지 및 대응 방식으로는 빠르게 대응할 수 없는 랜섬웨어 위협으로부터 가장 확실하고 안전하게 방어할 수 있습니다
[4th revolution] new technology security education material] android security...james yoo
Interest in mobile security is increasing due to the development of the future environment. Through the diagnostic criteria of mobile security, we have made the diagnostic case for beginners to study and study. I hope it helps many people.
7. 1. 모바일 악성코드의 최근 동향
모바일 악성코드를 방지하기 위해 구글은 멀웨어 방지 프로그램인 바운
서를 구글 플레이에 적용하였으나 우회가 가능하다.
악성 App 업로드
바운서 (멀웨어 검사 시스템)
바운서 테스트 환경 정보를 받음
테스트 환경에서는 작동 못하게 변경, 업로드
등록 성공
8. 2. 모바일 악성코드 분석을 위한 준비
정적 분석 (Static Analysis)
애플리케이션을 직접 실행하지 않고 소스코드 만으로 분석하는
방법.
애플리케이션의 요구권한과 악성코드 은닉여부, 악성행위 검증
이 가능하다.
유지비용이 낮고 프로그램 전체를 분석할 수 있지만, 코드 난독
화나 허위탐지의 위험성이 있다.
동적 분석 (Dynamic Analysis)
정적 분석과 달리 실제로 애플리케이션을 실행시켜 로그를 추출
한 내용을 토대로 악성행위를 감시하는 분석
실제로 실행해봄에 따라 악성행위를 정확하게 탐지할 수 있다.
그러나 시간이 오래 걸리며 유지비용이 많이 든다.
9. 2. 모바일 악성코드 분석을 위한 준비
apktool
.apk파일 속에 들어있는 xml파일을 복원하기 위해 사용하는 툴
복원 결과 이미지와 xml파일, 각종 리소스, smali code 가 복원된
다.
Command>apktool d virus.apk virus
10. 2. 모바일 악성코드 분석을 위한 준비
dex2jar
안드로이드 애플리케이션 내 .dex파일을 jar파일로 변환시켜주는 툴
Command>dex2jar classes.dex
11. 2. 모바일 악성코드 분석을 위한 준비
jd-gui
변환된 .jar 파일을 .class로 볼 수 있게 하는 툴
위 툴을 사용하면 Java 소스코드를 볼 수 있다.
12. 3. 모바일 악성코드 분석 실습
분석 실습에 사용될 악성코드는 실제 Play Store에서 유포되었던 Zitmo
계열의 악성코드 C형 변형 악성코드입니다.
http://goodboy2.dothome.co.kr/seminar.html 에 접속하셔서 악성코드
분석 툴과 악성코드 샘플을 다운받으시면 됩니다.
14. 4. 모바일 악성코드 치료법
안드로이드는 리눅스를 기반으로 한 Operating System이다.
= Linux는 설정을 변경하려면 root 패스워드가 필요하다.
= Application 삭제만으로도 악성코드를 제거할 수 있다.
= 다른 Application을 Default로 설치한 경우에도 삭제로도 제거
할 수 있다.
15. 4. 모바일 악성코드 치료법
애플리케이션 시작
버튼 클릭
Package Name 검색
애플리케이션 삭제
Activity 실행
애플리케이션 삭제
Activity 실행
애플리케이션 삭제
애플리케이션 종료