'바이러스 분석'에 해당되는 글 1건

  1. 2010.06.30 웹에서 진단 - 나만의 바이러스 연구소를 만들어 보자
연재를 하기 전에 당부의 말씀을 적고자 합니다.

컴퓨터 특히 보안에 대해 익숙하지 않은 상태에서 본 글에 있는 내용을 따라하게 되면, 컴퓨터가 손상될 가능성이 매우 높습니다. 따라서, 정확히 알지 못하는 경우에는 절대 따라해서는 안돼며, 혹시 따라해서 발생하는 문제는 자신이 져야 합니다.

연재의 목적은 보안에 관심있는 사용자의 호기심 및 재미를 느끼고, 올바르고 안전한 보안을 위한 것입니다.  

특히, 가상화 시스템을 사용하지 않는 경우에는 실수로 감염될 수 있으므로 테스트하지 마십시오.

이번 연재에서는 WWW, 즉 웹으로부터 들어올 수 있는 공격을 알아내는 방법에 대해 소개합니다. 웹으로부터 들어올 수 있는 공격은 다음과 같이 2가지로 나뉩니다.

  • 웹 사이트에서 악성 프로그램을 다운로드하여 실행하는 경우
  • 웹 사이트에 포함된 악성 스크립트가 실행되어 별도의 사이트로 연동되어 추가적으로 공격이 진행되는 경우

여기서 전자는 앞서 연재한 문서에서와 같이 파일로 간주되기 때문에 VT, WMWARE, Sandbox와 같은 환경에서 분석하는 과정을 진행하면 됩니다.

이제 웹 사이트에 SQL 인젝션 공격, 파일 업로드 공격 등으로 스크립트(보통 JS, PHP 등등)가 포함되어 여기를 방문하는 사용자가 자신도 알지 못하는 사이에 다양한 공격에 노출되는 예를 살펴 보기로 합니다.

먼저 사용할 백신에 대해서 언급하고자 합니다. 이 부분은 아주 민감한 사안으로 필자가 추천하는 안티바이러스 제품은 필자만 주장하는 사항이므로, 참조 용도로만 이해하시기 바랍니다.

  • 어베스트! 안티바이러스
  • 카스퍼스키 안티바이러스
  • 아비라 안티버


그리고, 웹브라우저에서 악성 스크립트를 실행하는 웹서버의 실제 트래픽을 분석하기 위해서는 웹 소스를 봐야 하는 불편함이 있습니다. 물론 웹 브라우저에서 '소스 보기'를 통해 찾아 볼 수 있지만, 전문적인 프로그램의 도움을 받는 것이 좋습니다.

소개할 프로그램은 HttpWatch 라는 프로그램으로 유료입니다. 물론, 저는 이 회사, 제품과 전혀 관련이 없습니다. 사용법은 직관적이므로 쉽게 알 수 있습니다. 따라서 생략합니다.


이제 예를 들어보도록 하겠습니다. 예로 드는 부분은 최근 활동을 게시한 ASProx 봇넷이 공격한 형태인 아래 문자열이 있는 사이트입니다.

구글 검색을 통해 현재 스크립트가 살아 있는 사이트를 찾아 냅니다. 그리고 웹브라우저를 열고 Shift-F2를 눌러 HttpWatch 프로그램을 실행합니다. 그런 후에 사이트에 방문합니다. HttpWatch에서 Find 버튼을 이용하여 "js.js" 문자열을 찾습니다.


위의 소스를 보면 감염된 부분을 볼 수 있습니다.

이와 같은 방식으로 웹 사이트에서 유포되는 방식을 실시간으로 분석할 수 있습니다. 물론, 최근에는 다운로더로 이동시키고, 복잡한 공격을 추가로 진행하는 경우도 많습니다. 이러한 경우도 하나하나 확인하다 보면, 쉽게 분석할 수 있습니다.

감사합니다.

관련자료: http://moonslab.com/989

PS: 웹 브라우저로 감염된 사이트를 방문할 때에 안티바이러스 제품이 진단하여 차단하는 경우에는 잠시 실시간 감시를 중지시켜야 합니다. 따라서, 가상 시스템과 같이 안전한 상태에서 분석 작업을 진행해야 합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory