홍성대 프로님과 함께하는 2일차 특강👍🏽
악성코드 분석 툴
process explorer
출처: 위키피디아
윈도우 운영 체제에서 실행되는 프로세스와 프로그램에 대한 자세한 정보를 제공합니다. 윈도우의 기본 작업 관리자보다 훨씬 상세한 정보를 볼 수 있으며, 각 프로세스의 자원 사용량, 실행 파일 위치, 실행 중인 서비스, 열린 파일, 그리고 레지스트리 키 등을 포함한 다양한 기술적인 세부사항을 제공합니다.
Process Explorer는 특히 시스템 성능 문제를 진단하거나 악성 소프트웨어를 탐지하는데 유용하게 사용될 수 있습니다. 사용자는 프로세스의 부모-자식 관계를 나타내는 트리 구조를 통해 시스템에서 어떤 프로세스가 다른 프로세스를 시작했는지 확인할 수 있고, 각 프로세스에 대한 CPU 및 메모리 사용량 등을 실시간으로 모니터링 할 수 있습니다.
filemon
출처:https://www.softpedia.com/get/Programming/Other-Programming-Files/Filemon.shtml
윈도우 운영 체제에서 파일 시스템의 활동을 모니터링하는 데 사용되었습니다. 이 도구는 파일 생성, 읽기, 쓰기, 삭제 등 파일 시스템에 대한 모든 접근을 실시간으로 감시하고 로그를 기록하는 기능을 제공했습니다. 사용자는 Filemon을 통해 특정 파일이나 폴더에 대한 시스템의 접근 패턴을 분석할 수 있었습니다.
Process Monitor
https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
Process Monitor의 주요 기능
-
실시간 모니터링: 파일 시스템, 레지스트리, 네트워크 이벤트 등을 실시간으로 추적하고 로그를 기록합니다.
-
상세한 정보 제공: 각 이벤트에 대해 상세한 정보를 제공하며, 이벤트 소스인 프로세스의 경로, 사용된 커맨
드라인 인자, 사용자 계정 정보 등을 확인할 수 있습니다. -
필터링 기능: 로그된 데이터에서 특정 조건을 만족하는 이벤트만을 필터링하여 볼 수 있는 기능을 제공합니다. 이를 통해 원하는 정보를 보다 쉽게 찾을 수 있습니다.
-
다양한 이벤트 로깅: 파일의 생성, 읽기, 쓰기, 삭제와 같은 파일 시스템 이벤트뿐만 아니라 레지스트리의 변경, 네트워크 트래픽, 프로세스와 스레드의 시작 및 종료 등 다양한 시스템 이벤트를 기록합니다.
Auto runs
AutoRuns의 주요 기능
- 광범위한 자동 실행 위치 탐색: Windows에서 사용되는 다양한 자동 실행 위치를 모두 스캔하여, 일반적인 작업 관리자나 기타 시스템 도구에서는 보이지 않는 항목들까지도 포착합니다.
- 상세한 정보 제공: 각 항목에 대해 파일 위치, 등록 정보, 관련된 회사 이름, 디지털 서명 상태 등 상세한 정보를 제공합니다.
- 필터링과 검색 기능: 사용자가 특정 항목을 쉽게 찾을 수 있도록 필터링과 검색 기능을 제공합니다.
비활성화 기능: 필요 없거나 의심스러운 항목을 간편하게 비활성화하거나 삭제할 수 있습니다.
UAC(User Account Control):
사용자가 시스템에 중요한 변경을 가하려 할 때 관리자 권한을 요구함으로써, 악성 소프트웨어가 사용자 몰래 시스템 설정을 변경하거나 중요한 파일을 수정하는 것을 방지하는 역할을 합니다.
주요 특징
- 보안 강화: 사용자와 시스템 보호자 사이의 중간 단계를 만들어 악성 소프트웨어가 시스템에 피해를 주는 것을 방지합니다.
- 관리자 권한 제어: 사용자 계정이 관리자 권한을 가진 경우에도, 모든 작업이 자동으로 관리자 권한으로 실행되지 않도록 합니다. 대신, 관리자 권한이 필요한 작업을 할 때마다 사용자에게 승인을 요청합니다.
- 사용자 인터페이스 통합: 보안 경고와 승인 요청이 그래픽 사용자 인터페이스를 통해 제공되어, 사용자가 보다 명확하게 어떤 작업이 요구되는지 이해할 수 있도록 합니다.
메모리 덤프
컴퓨터 시스템의 메모리 내용을 특정 시점에서 파일로 저장하는 것을 말합니다. 이는 주로 시스템의 진단과 디버깅, 오류 분석에 사용됩니다. 시스템이 충돌하거나 예상치 못한 문제가 발생했을 때, 메모리 덤프를 통해 그 시점에서의 프로그램 실행 상태, 실행 중인 프로세스, 열린 파일, 시스템 설정 등을 파악할 수 있습니다.
메모리 덤프의 종류
풀 메모리 덤프(Full Memory Dump): 시스템의 전체 RAM 내용을 저장합니다. 이는 시스템의 모든 정보를 포함하므로 파일 크기가 크고, 분석이 복잡할 수 있습니다.
커널 메모리 덤프(Kernel Memory Dump): 커널 모드에서 실행되는 프로세스와 드라이버의 메모리만을 포함합니다. 풀 덤프보다는 작지만, 오류 분석에 필요한 주요 정보를 제공합니다.
미니 덤프(Mini Dump): 충돌 시점의 핵심적인 정보만을 포함하여 상대적으로 작은 용량의 파일을 생성합니다. 프로세스 상태, 스레드 정보, 스택 트레이스 등 충돌 관련 중요 정보만 포함됩니다.
디가우징(degaussing)
자기 저장 매체에서 정보를 삭제하는 방법 중 하나로, 강한 자기장을 이용해 매체의 자기적 특성을 균일하게 만들거나 완전히 제거하는 과정입니다.
디가우징의 두가지 방식
자기 디가우징기 사용: 전문적인 자기 디가우징기를 사용하여 저장 장치를 강력한 자기장에 노출시켜 데이터를 파괴합니다. 이 장비는 내부에 매우 강력한 자석을 사용하여 자기 필드를 생성하고, 이를 통해 저장 매체의 자기적 특성을 변경시킵니다.
수동 디가우징 도구 사용: 보다 간단한 수동 도구로도 디가우징을 시행할 수 있습니다. 이 방법은 간편하지만 전문적인 디가우징기만큼의 효과를 보장하지는 못합니다.
Regmon
운영 체제의 레지스트리 활동을 모니터링하는 도구였습니다. 이 프로그램은 실시간으로 레지스트리의 조회, 생성, 수정 등 모든 레지스트리 접근을 감시하고 로그로 기록하였습니다. 사용자는 Regmon을 사용하여 어떤 애플리케이션이 레지스트리에 어떤 변경을 가하는지 실시간으로 확인할 수 있었습니다.
결론: 엔지니어에게 툴은 중요하다..
네트워크 기본과정
Network란?
여러 컴퓨터와 장치들이 서로 연결되어 데이터, 파일, 인터넷 접속 등의 자원을 공유할 수 있도록 하는 시스템
퍼블릭 네트워크 (Public Network)
퍼블릭 네트워크는 일반적으로 대중에게 개방되어 있는 네트워크를 말합니다. 이러한 네트워크는 보통 인터넷과 같이 누구나 접근할 수 있는 환경에서 사용됩니다.
프로토콜 : 통신 과정에서 데이터가 어떻게 전송되어야 하는지에 대한 일련의 규칙과 표준을 말합니다.
OSI 7 Layer
출처: https://simroot.tistory.com/5
물리 계층 (Physical Layer) 1층
데이터 전송의 가장 기초적인 단계로, 비트(bit) 형태로 데이터를 전송합니다.
케이블, 리피터, 허브 등의 하드웨어 장비가 여기에 포함됩니다.
데이터 링크 계층 (Data Link Layer) 2층
프레임 단위로 데이터를 전송하고, 오류 검출 및 수정을 담당합니다.
이 계층은 네트워크 경계 내에서 데이터의 신뢰할 수 있는 전송을 보장합니다.
이더넷, PPP, 스위치 등이 이 계층에 해당됩니다.
네트워크 계층 (Network Layer) 3층
다양한 네트워크를 통해 패킷을 전송하는 역할을 담당합니다.
라우팅 기능을 통해 데이터가 목적지까지 최적의 경로로 전송됩니다.
IP 주소, 라우터 등이 여기에 해당됩니다.
전송 계층 (Transport Layer) 4층
종단 간(End-to-End) 데이터 전송을 관리합니다.
데이터의 전송을 보장하며, 흐름 제어 및 오류 제어를 수행합니다.
TCP, UDP 프로토콜이 이 계층에 포함됩니다.
세션 계층 (Session Layer) 5층
통신 세션을 구축, 관리, 종료하는 역할을 합니다.
데이터 교환을 위한 논리적 연결을 담당합니다.
표현 계층 (Presentation Layer) 6층
데이터의 표현 형식을 처리하며, 암호화 및 압축을 담당합니다.
예를 들어, 데이터가 어떻게 인코딩되고 암호화될지 결정합니다.
응용 계층 (Application Layer) 7층
최종 사용자에게 서비스를 제공합니다.
이메일, 파일 전송, 웹 서비스 등의 애플리케이션이 이 계층에 해당됩니다.
flow,session 차이
Flow (플로우)
플로우는 네트워크에서 한 지점에서 다른 지점으로의 데이터 패킷들의 논리적인 흐름을 의미합니다. 이는 주로 데이터의 전송 경로, 방향성, 그리고 이러한 데이터가 흐르는 패턴을 지칭합니다.
특정 소스와 목적지 간의 연속된 패킷 시퀀스를 말하며, 이는 동일한 소스 주소, 목적지 주소, 프로토콜 등을 기반으로 구성됩니다.
Session (세션)
세션은 네트워크에서 두 노드 간의 대화 또는 교환을 관리하는 논리적 연결을 의미합니다. 세션 계층에서 처리되며, 통신을 시작하고 유지하며 종료하는데 필요한 규칙과 절차를 포함합니다.
주요 기능
데이터 변환: 컴퓨터 내부에서 처리되는 디지털 데이터를 네트워크에서 전송 가능한 형태로 변환하고, 네트워크로부터 수신한 데이터를 컴퓨터가 처리할 수 있는 형태로 변환합니다.
물리적 접속: 이더넷 케이블을 통한 유선 연결 또는 Wi-Fi, 블루투스 같은 무선 기술을 사용하여 네트워크에 연결합니다.
주소 지정: 네트워크에서 각 장치를 구별하기 위한 MAC 주소(Media Access Control Address)를 제공합니다. MAC 주소는 NIC에 고유하게 할당되어 있어 네트워크 상에서 각 장치를 식별하는 데 사용됩니다.
데이터 흐름 제어: 데이터 전송 시 충돌을 방지하고 효율적인 데이터 흐름을 유지하기 위한 기능을 수행합니다.
포트 주소(port address)는 컴퓨터 네트워킹에서 특정 프로세스나 서비스를 식별하는 데 사용되는 숫자로, IP 주소와 함께 네트워크 상에서 데이터가 올바른 목적지의 애플리케이션 또는 서비스로 정확히 전달되도록 도와줍니다.
종류
SSH (Secure Shell) - 포트 22
원격 서버에 안전하게 접속하기 위해 사용됩니다. 데이터 암호화를 제공하여 보안성을 강화한 원격 터미널 서비스입니다.
Telnet - 포트 23
원격 서버에 접속하기 위해 사용되는 프로토콜이지만, SSH에 비해 보안성이 낮아서 현재는 잘 사용되지 않습니다.
SMTP (Simple Mail Transfer Protocol) - 포트 25
이메일을 전송할 때 사용되는 프로토콜의 표준 포트입니다.
DNS (Domain Name System) - 포트 53
도메인 이름을 IP 주소로 변환할 때 사용됩니다. 예를 들어, www.example.com을 해당 웹사이트의 IP 주소로 매핑하는 데 사용됩니다.
DHCP (Dynamic Host Configuration Protocol) - 포트 67, 68
네트워크 상의 디바이스에 자동으로 IP 주소를 할당할 때 사용됩니다.
POP3 (Post Office Protocol version 3) - 포트 110
이메일 클라이언트가 메일 서버로부터 이메일을 다운로드 받을 때 사용됩니다.
IMAP (Internet Message Access Protocol) - 포트 143
이메일 클라이언트가 서버에 저장된 이메일을 관리하고 접근할 때 사용되는 프로토콜입니다.
LDAP (Lightweight Directory Access Protocol) - 포트 389
디렉토리 정보 서비스를 접근하는데 사용되는 프로토콜입니다.
HTTPS (HTTP Secure) - 포트 443
HTTP 통신에 보안을 강화한 버전으로 SSL/TLS를 통해 암호화된 연결을 제공합니다.
RDP (Remote Desktop Protocol) - 포트 3389
원격 데스크톱 연결을 위해 사용되며, 사용자가 네트워크를 통해 다른 컴퓨터의 데스크톱 환경에 접속할 수 있게 합니다.
LAN
출처: https://www.cloudflare.com/ko-kr/learning/network-layer/what-is-a-lan/
로컬 영역 네트워크"를 의미하며, 지리적으로 제한된 공간(예: 가정, 사무실, 학교 등) 내에서 여러 컴퓨터와 장치들이 서로 연결되어 통신할 수 있도록 하는 네트워크 시스템입니다.
- 구성 요소
스위치: LAN에서 중앙 연결 포인트 역할을 하며, 네트워크 내의 장치들 사이에서 데이터 패킷을 전송합니다.
라우터: LAN과 다른 네트워크(예: 인터넷) 간의 통신을 가능하게 하는 장치입니다.
네트워크 케이블: 일반적으로 이더넷 케이블이 사용되며, 네트워크 장치들을 물리적으로 연결합니다.
무선 접속점(Wi-Fi Access Points): 무선 장치들이 LAN에 접속할 수 있도록 도와줍니다.
네트워크 인터페이스 카드(NIC): 각 컴퓨터나 장치에 설치되어 네트워크와의 통신을 가능하게 합니다.
WAN
광역 네트워크를 의미하며, 지리적으로 넓은 범위에 걸쳐 있는 네트워크를 말합니다. 이는 도시, 국가, 대륙을 포함하는 매우 넓은 지역에 걸쳐 구축될 수 있으며, LAN(Local Area Network)이나 MAN(Metropolitan Area Network)과 같은 더 작은 네트워크들을 서로 연결하는 기능을 합니다. WAN은 일반적으로 여러 개의 LAN을 서로 연결하여 조직의 다양한 위치에 있는 사용자들이 통신할 수 있도록 하는데 사용됩니다.
- 구성요소
라우터: LAN과 WAN을 연결하고, 네트워크 간의 데이터 전송을 관리하는 장치입니다.
모뎀: 디지털 신호를 아날로그 신호로 변환하거나 그 반대의 작업을 수행하여 전화선을 통한 데이터 전송을 가능하게 합니다.
WAN 스위치: 고성능의 네트워크 스위치로, WAN 접속을 위한 데이터 교환 및 관리를 수행합니다.
