| 악성코드 특징 추가조사
지난 주차에 조사했던 악성코드 (백도어, 랜섬웨어) 특징 추가조사 - 랜섬웨어 감염 특징
- 백신 프로그램의 강제 종료, 중지, 지속적 오류가 발생할 수 있음
- 파일들의 확장명이 변경됨
각 특징들은 프로세스 모니터링, 파일 이벤트(확장명) 모니터링 등을 이용하여 탐지
* 수정, 보완된 표
| 공통/차별 요소 분석
백도어, 랜섬웨어 대응방법에 있어서 공통/차별적 요소를 분석
- 공통 대응방법
- 프로세스 모니터링
- 파일 이벤트 모니터링
- 차별적 대응방법
- 백도어
- 포트 확인, 원격 명령, 권한 획득이 주로 특징
- 랜섬웨어
- API 사용, CPU와 같은 시스템 자원 소모 등이 주로 특징
- 백도어
| 오픈소스 탐지 툴 조사
구글링, Github를 통해 각 대응방법에 맞는 오픈소스 탐지 툴 조사 (현황)
- 공통 대응방법
- 프로세스 모니터링 툴 1건
- 파일 이벤트 모니터링 2건 (1건은 액세스 정보 모니터링 위주)
- 파일, 프로세스 모니터링 1건
- 차별적 대응방법
- 레지스트리 분석 3건
- 파일 암호화 공격 탐지를 위한 허니팟 2건
- 이외 포트확인, I/O 분석, API 호출 빈도 탐지, 시스템 자원 소모량 탐지 및
백도어, 랜섬웨어 탐지 툴, 명령어 및 MS 제공 툴
* 향후계획
- 현재 18개의 툴 조사가 완료되었으며, 명령어 및 MS 제공 툴을 제외한 15건의 오픈소스 동작 여부를 확인할 예정
'4-9. 2020-2 심화 스터디 > 오픈소스 활용 악성코드 탐지' 카테고리의 다른 글
| [2020.11.09] OHack - 오픈소스 툴 선정 (0) | 2020.11.09 |
|---|---|
| [2020.09.19] OHack - 악성코드 조사 (0) | 2020.09.19 |
