Category Archives: Security

로그 분석 – tr, awk, uniq, sort

로그 분석 방법은 침해 사고뿐만 아니라, 장애 상황에서도 유용하게 사용된다. 대다수의 분석 작업에서는 중요한 부분이 얼마나 불필요한 데이터를 제거하고 원하는 데이터를 수집하는냐에 있다. 로그는 모든 메시지를 담고 있어 많은 량의 데이터를 가지고 있다. 이를 어떻게 분석하는가에 따라, 단서를 발견할 수 도 있고, 영영 미궁으로 빠질 수 도 있다. 따라서 로그를 분석할 때는, 전체 데이터를 보기

Read More

웹 성능 분석 – WCAT(Web Capacity Analysis Tool)

  웹은 현재 우리가 가장 많이 접하면서, 기업에서도 많이 구축하는 시스템으로, 성능 분석에 빠질 수 없는 항목이다. 하지만, 운영체제가 아닌 웹 환경으로 응용 서비스 상의 성능을 측정해야 하는 만큼 지금까지보다 더 복잡한 분석 방법이 필요하며, 측정이 어려운 만큼 분석하기 힘든 분야이기도 하다.   이러한 상황 때문에 마이크로소프트에서는 IIS Resource Kit에 WCAT(Web Capacity Analysis Tool)을 배포하여,

Read More

Netsh를 이용한 윈도우 네트워크 이벤트 추적

Netsh를 이용한 네트워크 이벤트 추적 윈도우에서는 기본적으로 내장된 Netsh를 이용하여 네트워크 인터페이스, 윈도우 방화벽 등 다양한 윈도우 설정을 돕는 CLI 도구로써, 운영체제 스크립트 작업 경험이 있는 엔지니어에게는 익숙한 도구이다. 이외에도 Netsh로 가능한 작업이 하나 더 있는데 그것은 바로 네트워크 패킷 캡처라 할 수 있다. Trace 옵션을 통해 사용 가능하며 사용 가능한 옵션은 다음과 같다. capture=yes/no:

Read More

악성 코드 동적 분석기법

동적 분석은 해당 파일을 실행하면서, 분석을 진행하는 것을 말한다. 즉 프로그램 동작을 모니터링 하거나 디버깅 도구를 이용하여 실행 상태를 확인하는 작업이라 할 수 있다. 동적 분석을 진행할 때에는 반드시 분석 전용 머신에서 진행하는 것이 좋다. 그 이유는 해당 프로그램이 동작을 하면서 실제 악성코드가 사용자 머신을 감염시킬 수 있기 때문이다. 그리고 해당 바이러스 혹은 악성코드가 네트워크

Read More

악성 코드 정적 분석

PE 파일, 프로그램 빠른 정적 분석 – PEiD, String, Virustotal 정적 분석은 말 그대로, 파일을 실행하지 않은 상태에서 분석을 진행하는 것으로 파일 상태 자체를 분석하여, 해당 프로그램이 처리할 내용을 유추하는 과정을 말한다. 실제 분석이 아닌 유추이기 때문에, 분석 결과에 대한 신뢰도는 다소 떨어지게 된다. 따라서 정적 분석은 상세 분석을 진행하기 전의 사전 예측 용도로 이용하면

Read More

인프라 보안와 침해 대응의 방식 변화

최근 보안 사고를 격으면서 과거와 많이 달라진 침해 대응 방식에 놀랍고 참 많이 발전했구나 하는 생각이든다. 그럼 그 발전에 대해서 정리해 보았다. 1. VM기반의 멜웨어 분석 – 이부분은 이미 많이 알려진 부분이기 때문에 크게 애기할 필요가 없는것 같다. Fireeye NX 제품이 대표 제품으로 이제 휴리스틱 기능도 들오갔다고 하니 많이 고도화 되고 있는듯 하다. 2. 호스트

Read More

Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안

Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안 최근 이슈화된 Intel CPU bug인 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점에 대해 정리해 보았습니다. CPU의 부채널 공격에 사용되는 방식은 Meltdown과 Spectre Attack이 있습니다.   Meltdown Attack 응용 프로그램과 운영 체제 간의 가장 기본적인 커널 메모리 영역의 분리를 해칩니다. 이 공격은

Read More

Windbg – Display Memory Command D, DD, DW, DB

Windbg – Display Memory Command D, DD, DW, DB 메모리의 내용을 확인할 때 Windbg에서 사용하는 명령어로 매우 자주 사용되는 명령으로, 아래와 같이 사용할 수 있다. D 지정한 범위의 메모리 내용을 표시 DD range 지정한 범위의 메모리 내용을 DWORD(32bit)로 표시 DW range 지정한 범위의 메모리 내용을 WORD(16bit)로 표시 DB range 지정한 범위의 메모리 내용을 BYTE(8bit)로 표시

Read More