본문 바로가기

4-1. 2020-2 심화 스터디/오픈소스 활용 악성코드 탐지

(3)

[2020.11.09] OHack - 오픈소스 툴 선정 | 오픈소스 탐지 툴 조사 지금까지 조사한 오픈소스 탐지 툴 中 사용할 오픈소스 탐지 툴 선정 공통 대응방법 프로세스 모니터링 psutil 차별적 대응방법 레지스트리 분석 RegSmart 차별적 대응방법 레지스트리 분석 RtCA 추가 참고자료 AntiRansomware AntiRansom_Server * 향후계획 - 현재 오픈소스 동작 여부를 확인하였으며, 그 중 3개의 오픈소스를 선택하였다. - 백도어를 중심으로 오픈소스를 분석하여 백도어만의 특징이 탐지가 되었는지, 어떤 기능을 사용할 수 있는지 정리할 예정 - 테스트용 백도어를 찾을 예정

[2020.09.27] OHack - 악성코드, 오픈소스 툴 조사 | 악성코드 특징 추가조사 지난 주차에 조사했던 악성코드 (백도어, 랜섬웨어) 특징 추가조사 - 랜섬웨어 감염 특징 백신 프로그램의 강제 종료, 중지, 지속적 오류가 발생할 수 있음 파일들의 확장명이 변경됨 각 특징들은 프로세스 모니터링, 파일 이벤트(확장명) 모니터링 등을 이용하여 탐지 * 수정, 보완된 표 | 공통/차별 요소 분석 백도어, 랜섬웨어 대응방법에 있어서 공통/차별적 요소를 분석 공통 대응방법 프로세스 모니터링 파일 이벤트 모니터링 차별적 대응방법 백도어 포트 확인, 원격 명령, 권한 획득이 주로 특징 랜섬웨어 API 사용, CPU와 같은 시스템 자원 소모 등이 주로 특징 | 오픈소스 탐지 툴 조사 구글링, Github를 통해 각 대응방법에 맞는 오픈소스 탐지 툴 조사 (현황) 공통 대응방..

[2020.09.19] OHack - 악성코드 조사 | 백도어 - 정상적인 인증 절차를 거치지 않고 컴퓨터(응용프로그램/시스템)에 접근할 수 있도록 하는 장치 - Trap Door : 개발 단계에서의 테스트를 위해, 유지 보수 시의 효율성을 위해 특수 계정을 허용하는 경우 [특징] - 자신을 레지스트리와 서비스에 등록하여 윈도우 시작 시 자동 실행 되게 함 - 시스템 최단 시간 침입 가능 - 백도어 프로그램의 경우 로그를 남기지 않고도 가능함 - 시스템 관리자가 막으려 해도 다시 접근 가능 [종류] - 로컬 백도어 : 시스템에 로그인한 뒤에 관리자로 권한 상승하기 위한 백도어 - 원격 백도어 : 시스템 계정이 필요없으며 원격으로 관리자 권한을 획득하여 시스템에 접근 - 패스워드 크래킹 백도어 : 패스워드를 공격자에게 전송 - 시스템 설정 변경 백도어 : ..

이전 1 다음

티스토리툴바