2018-12-06
제작한 악성코드 디버깅
[ Immunity Debugger ]
사용한 함수 및 메인함수
IPS가 탐지하는지 확인
가상의 네트워크를 구축하여 IPS로 백도어를 탐지하는지..
- Webserver내에 server.exe(clshdd) Upload
- 하드를 파괴하는 exe를 게시판에 올림
- 하드를 파괴하는 exe를 게시판에 올림
exe file is in hacker pc
->ftp from webserver then put in the /var/www/html/asdf
악성코드 업로드 확인
- Victim가 웹사이트에 들어가 해당파일을 다운로드
- At that time, figure out the rule 1 when victim downloads the program.
- rule1
- 다운로드시 탐지
- keyword : PhysicalDrive0, shutdown -r..
- rule2
- 통신을 탐지(TCP 9000)
- Keyword : get, put
악성코드 분석절차
- 악성코드 수집
- 정적분석
- 가만히 지켜봄
- bintext - 문자열추출
- Dependency Walker - WS2.32.DLL(Winsock2.32.dll 내에 사용된 함수들을 보여줌)
- Image=메모리에 로딩된 실행파일(=PE파일)
- 동적분석
- : 프로세스의 활동을 모니터
- Process Monitor - 악성코드를 실행시키면 프로세스를 보여줌
Process Explorer
- 코드 리버싱
- 뽑아내서 분석
- 뽑아내서 분석
No comments:
Post a Comment