πŸ“– λ³΄μ•ˆ μš©μ–΄λ“€ 정리

mollogΒ·2021λ…„ 1μ›” 21일
0

κ·Έλ™μ•ˆ ν—·κ°ˆλ¦¬κ³  λͺ¨ν˜Έν–ˆλ˜ μš©μ–΄λ“€μ„ μ •λ¦¬ν•©λ‹ˆλ‹€.

ν‰νŒλΆ„μ„

μ‚¬μš©μžλ“€μ΄ ν‰κ°€ν•œ λ³΄μ•ˆ κ²½ν—˜μ„ ν† λŒ€λ‘œ λ³΄μ•ˆμœ„ν˜‘μ˜ μˆ˜μ€€μ΄ μ–΄λŠ 정도인지 νŒλ‹¨ν•˜λ„λ‘ λ„μ™€μ£ΌλŠ” κΈ°μˆ μ΄λ‹€.

μ½”λ‘œλ‚˜ μ‹œλŒ€λ₯Ό 예둜 λ“€μžλ©΄ A, B, C, D ... λ“± μ—¬λŸ¬ νšŒμ‚¬μ—μ„œ νŒλ§€ν•˜λŠ” μ½”λ‘œλ‚˜ μ§„λ‹¨ν‚€νŠΈλ“€μ΄ μžˆμ„ κ±°κ³  κ·Έ λ§Žμ€ μ§„λ‹¨ν‚€νŠΈλ“€ 쀑 μ—¬λŸ¬ 개 (ν˜Ήμ€ λ‹€μˆ˜)κ°€ μ½”λ‘œλ‚˜μ΄λ‹€λΌκ³  ν•˜λ©΄ λͺ…λ°±ν•˜κ²Œ 정탐에 가깝닀고 νŒλ‹¨ν•  수 μžˆλŠ”λ° 이런 뢄석을 ν‰νŒλΆ„μ„μ΄λΌκ³  ν•œλ‹€.
ν‰νŒλΆ„μ„μ„ ν•΄ μ£ΌλŠ” μ‚¬μ΄νŠΈλ‘œλŠ” λ°”μ΄λŸ¬μŠ€ν† νƒˆ(https://www.virustotal.com/gui/)이 λŒ€ν‘œμ μ΄λ‹€.
(μž‘λ…„ κ°œλ°œμ— μ°Έμ—¬ν–ˆλ˜ 것듀이 결ꡭ은 ν‰νŒλΆ„μ„μ„ λ„μ™€μ£ΌλŠ” μ›Ήμ–΄ν”Œλ¦¬μΌ€μ΄μ…˜μ΄μ—ˆκ΅¬λ‚˜... λ’€λŠ¦κ²Œ κΉ¨λ‹¬μ•˜λ‹€)

정적뢄석

μ½”λ“œλ‚˜ ν”„λ‘œκ·Έλž¨μ˜ ꡬ쑰λ₯Ό λΆ„μ„ν•˜λŠ” 단계

μ•…μ„± μ—¬λΆ€λ₯Ό νŒλ‹¨ν•˜λŠ” μ•ˆν‹° λ°”μ΄λŸ¬μŠ€ 도ꡬλ₯Ό μ‚¬μš©ν•˜κ±°λ‚˜ νŒλ³„ ν•΄μ‹œλ₯Ό μ‚¬μš©ν•˜κ±°λ‚˜, ν˜Ήμ€ 파일의 λ¬Έμžμ—΄, ν•¨μˆ˜μ—μ„œ λŒ€λž΅μ μΈ 뢄석을 μ§„ν–‰ν•˜λŠ” 것을 정적뢄석이라고 ν•œλ‹€. 즉, μ½”λ“œλ₯Ό 보고 νŒλ‹¨ν•˜λŠ” 뢄석.

동적뢄석

μ•…μ„±μ½”λ“œλ₯Ό 직접 μ‹€ν–‰ν•˜μ—¬ λΆ„μ„ν•˜λŠ” 단계

μ•…μ„± ν”„λ‘œκ·Έλž¨μ„ μ‹€ν–‰ν•˜μ—¬ μ „ν›„λ₯Ό λΉ„κ΅ν•¨μœΌλ‘œμ„œ μ–΄λ–€ λ³€ν™”κ°€ μΌμ–΄λ‚¬λŠ”μ§€μ— λŒ€ν•œ 뢄석을 μ§„ν–‰ν•˜λŠ” 것을 동적뢄석이라 ν•œλ‹€. ν–‰μœ„κ°€ λ“€μ–΄κ°€λŠ” 뢄석.

MITRE ATT & CK (λ§ˆμ΄ν„°μ–΄νƒ)

곡격자λ₯Ό 보닀 μ •ν™•ν•˜κ²Œ 식별함에 μžˆμ–΄ 도움을 μ£ΌλŠ” 기술 정보 제곡

μ‚¬μ΄λ²„μƒμ—μ„œ μΌμ–΄λ‚˜λŠ” κ΄‘λ²”μœ„ν•œ 곡격과 νƒœκ·Έμ˜ 정보λ₯Ό κ·œκ²©ν™”ν•˜μ—¬ μ‚¬μš©μžμ—κ²Œ μ œκ³΅ν•΄ μ£ΌλŠ” ν”„λ ˆμž„μ›Œν¬μ΄λ‹€. 예λ₯Ό λ“€μ–΄ νŠΉμ • ν•΄μ‹œμ—μ„œ νƒμ§€λœ νƒœκ·Έ 정보에 create_exe(μ‹€ν–‰ κ°€λŠ₯ν•œ ν˜•νƒœμ˜ 파일 생성), exe_adddata(AppData 폴더에 PE 파일 생성), dropper(exe 파일 생성 ν›„ μ‹€ν–‰) λΌλŠ” νƒœκ·Έ 정보듀이 λ“€μ–΄ κ°”λ‹€λ©΄ 이것은 Execution (μ‹€ν–‰)μ΄λΌλŠ” 곡톡 곡격 μœ ν˜•μ„ κ°–κ³  μžˆλ‹€. 그리고 이것을 λ§ˆμ΄ν„°μ–΄νƒμ΄ μ œκ³΅ν•΄ μ€€λ‹€.

PE

.exe와 같은 μ‹€ν–‰ 파일

CVE

취약점에 κ΄€λ ¨λœ λ‹¨μ–΄λ‘œ 보톡 CVE-111 μ‹μœΌλ‘œ λ²ˆν˜Έκ°€ 맀겨짐

0개의 λŒ“κΈ€