Category Archives: Security

Netsh를 이용한 윈도우 네트워크 이벤트 추적

Netsh를 이용한 네트워크 이벤트 추적 윈도우에서는 기본적으로 내장된 Netsh를 이용하여 네트워크 인터페이스, 윈도우 방화벽 등 다양한 윈도우 설정을 돕는 CLI 도구로써, 운영체제 스크립트 작업 경험이 있는 엔지니어에게는 익숙한 도구이다. 이외에도 Netsh로 가능한 작업이 하나 더 있는데 그것은 바로 네트워크 패킷 캡처라 할 수 있다. Trace 옵션을 통해 사용 가능하며 사용 가능한 옵션은 다음과 같다. capture=yes/no:

Read More

악성 코드 동적 분석기법

동적 분석은 해당 파일을 실행하면서, 분석을 진행하는 것을 말한다. 즉 프로그램 동작을 모니터링 하거나 디버깅 도구를 이용하여 실행 상태를 확인하는 작업이라 할 수 있다. 동적 분석을 진행할 때에는 반드시 분석 전용 머신에서 진행하는 것이 좋다. 그 이유는 해당 프로그램이 동작을 하면서 실제 악성코드가 사용자 머신을 감염시킬 수 있기 때문이다. 그리고 해당 바이러스 혹은 악성코드가 네트워크

Read More

악성 코드 정적 분석

PE 파일, 프로그램 빠른 정적 분석 – PEiD, String, Virustotal 정적 분석은 말 그대로, 파일을 실행하지 않은 상태에서 분석을 진행하는 것으로 파일 상태 자체를 분석하여, 해당 프로그램이 처리할 내용을 유추하는 과정을 말한다. 실제 분석이 아닌 유추이기 때문에, 분석 결과에 대한 신뢰도는 다소 떨어지게 된다. 따라서 정적 분석은 상세 분석을 진행하기 전의 사전 예측 용도로 이용하면

Read More

인프라 보안와 침해 대응의 방식 변화

최근 보안 사고를 격으면서 과거와 많이 달라진 침해 대응 방식에 놀랍고 참 많이 발전했구나 하는 생각이든다. 그럼 그 발전에 대해서 정리해 보았다. 1. VM기반의 멜웨어 분석 – 이부분은 이미 많이 알려진 부분이기 때문에 크게 애기할 필요가 없는것 같다. Fireeye NX 제품이 대표 제품으로 이제 휴리스틱 기능도 들오갔다고 하니 많이 고도화 되고 있는듯 하다. 2. 호스트

Read More

Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안

Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안 최근 이슈화된 Intel CPU bug인 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점에 대해 정리해 보았습니다. CPU의 부채널 공격에 사용되는 방식은 Meltdown과 Spectre Attack이 있습니다.   Meltdown Attack 응용 프로그램과 운영 체제 간의 가장 기본적인 커널 메모리 영역의 분리를 해칩니다. 이 공격은

Read More

Windbg – Display Memory Command D, DD, DW, DB

Windbg – Display Memory Command D, DD, DW, DB 메모리의 내용을 확인할 때 Windbg에서 사용하는 명령어로 매우 자주 사용되는 명령으로, 아래와 같이 사용할 수 있다. D 지정한 범위의 메모리 내용을 표시 DD range 지정한 범위의 메모리 내용을 DWORD(32bit)로 표시 DW range 지정한 범위의 메모리 내용을 WORD(16bit)로 표시 DB range 지정한 범위의 메모리 내용을 BYTE(8bit)로 표시

Read More

어셈블리 – PUSH/POP 명령 MASM32 코드 예제

이 명령은 스택에 데이터를 push(저장) 하거나 pop(꺼내기)라는 명령으로 스택과 밀접한 관계가 있다. (이후 진행되는 스택에서 자세히 다른다.) 이 명령의 사용은 자료 구조 스택과 동일하다. PUSH/POP 는 한개의 피연산자를 받는데, 이 피연산자는 직접값/메모리/레지스터(세그먼트 포함)가 될 수 있다. PUSH이 실행되면, ESP는 해당 바이트만큼 감소하고, POP 명령이 실행되면 ESP레지스터는 해당 바이트만큼 증가하게 된다.   masm6.asm .586 .model flat, stdcall

Read More

윈도우 전체 메모리 덤프 생성 – MDD, Win32dd, Memoryze

메모리 덤프는 Windbg로 분석할 수 있는 메모리 덤프와 다른 일반적인 메모리 분석툴에서 분석을 진행할 수 있는 RAW타입(바이너리)의 메모리 덤프이다. 이 둘은 서로 호환되지 않으므로, 만약 침해사고 분석 용도라면 RAW 타입으로 생성하야 함을 명심하기 바란다. MDD mdd_1.3 ManTech에서 오픈 소스로 제공하는 메모리 덤프 프로그램이다. (소스는 http://sourceforge.net/projects/mdd/files/ 에서 다운로드 가능하다.) 본 툴은 윈도우 XP부터 Windows 2008까지 지원하며,

Read More