악성 코드를 분석하는 소프트웨어 중의 하나인 Malware Analyzer v3.1 버전이 출시되었습니다. 유사한 상용 프로그램의 가격은 꽤 비싼 축에 속하지만 이 프로그램은 오픈 소스로 공개되어 있어 무료로 사용할 수 있습니다.

다만, 파이선(Python) 언어의 인터프리터로 동작하기 때문에 사용 측면에서 약간 불편한 점이 있습니다.

주요 특징은 다음과 같습니다.
 

1. String based analysis for registry , API calls , IRC Commands , DLL’s called and VM Aware.

2. Display detailed headers of PE with all its section details, import and export symbols etc.

3.On Distro , can perform an ascii dump of the PE along with other options ( check –help argument).

4. For windows , it can generate various section of a PE : DOS Header , DOS Stub, PE File Header , Image Optional Header , Section Table , Data Directories , Sections

5. ASCII dump on windows machine.

6. Code Analysis ( disassembling )

7. Online malware checking ( www.virustotal.com )

8. Check for Packer from the Database.

9. Tracer functionality : Can be used to identify

anti-debugging Calls tricks , File system manipulations Calls, Rootkit Hooks, Keyboard Hooks , DEP Setting Change,Network Identification traces,Privilage escalation traces , Hardware Breakpoint traces

10. Signature Creation: Allows to create signature of malware

11. CRC and Timestamp verification.

12. Entropy based scan to identify malicious sections.

13. Dump a process memory

14. Dynamic Analysis (Still in beginning Stage ) for file creations. 

다운로드: http://www.malwareanalyser.com/home/
 
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷을 사용하거나, 다른 사람이 사용하던 USB를 가져와 파일을 복사할 때에 악성 프로그램(바이러스, 트로이 목마)으로 의심되는 파일이 있다면 보통 바이러스 토탈(Virus Total)과 같이 여러가지 백신의 엔진을 가지고 감염 여부를 확인하는 경우가 대부분입니다.

    하지만, 이는 단순하게 감염 여부만 알려 줄 뿐이며, 그 파일이 어떻게 동작하는지 알기가 어렵습니다.

    소개하는 자료는 악성 프로그램을 분석하여 알려주는 서비스 중에 무료로 제공되는 것을 정리한 것입니다. 추가적인 설명은 검사할 수 있는 유형을 나타냅니다.

    보통 인터넷으로 전파되는 HTML이나 JS는 JSUNPACK에서 분석하는 것이 좋습니다. 파일에 대한 부분은 특정한 OS나 크기의 제한이 있을 수 있으므로 주의하시기 바랍니다.

    감사합니다.






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      연재를 하기 전에 당부의 말씀을 적고자 합니다.

      컴퓨터 특히 보안에 대해 익숙하지 않은 상태에서 본 글에 있는 내용을 따라하게 되면, 컴퓨터가 손상될 가능성이 매우 높습니다. 따라서, 정확히 알지 못하는 경우에는 절대 따라해서는 안돼며, 혹시 따라해서 발생하는 문제는 자신이 져야 합니다.

      연재의 목적은 보안에 관심있는 사용자의 호기심 및 재미를 느끼고, 올바르고 안전한 보안을 위한 것입니다.  

      특히, 가상화 시스템을 사용하지 않는 경우에는 실수로 감염될 수 있으므로 테스트하지 마십시오.

      이번 연재에서는 WWW, 즉 웹으로부터 들어올 수 있는 공격을 알아내는 방법에 대해 소개합니다. 웹으로부터 들어올 수 있는 공격은 다음과 같이 2가지로 나뉩니다.

      • 웹 사이트에서 악성 프로그램을 다운로드하여 실행하는 경우
      • 웹 사이트에 포함된 악성 스크립트가 실행되어 별도의 사이트로 연동되어 추가적으로 공격이 진행되는 경우

      여기서 전자는 앞서 연재한 문서에서와 같이 파일로 간주되기 때문에 VT, WMWARE, Sandbox와 같은 환경에서 분석하는 과정을 진행하면 됩니다.

      이제 웹 사이트에 SQL 인젝션 공격, 파일 업로드 공격 등으로 스크립트(보통 JS, PHP 등등)가 포함되어 여기를 방문하는 사용자가 자신도 알지 못하는 사이에 다양한 공격에 노출되는 예를 살펴 보기로 합니다.

      먼저 사용할 백신에 대해서 언급하고자 합니다. 이 부분은 아주 민감한 사안으로 필자가 추천하는 안티바이러스 제품은 필자만 주장하는 사항이므로, 참조 용도로만 이해하시기 바랍니다.

      • 어베스트! 안티바이러스
      • 카스퍼스키 안티바이러스
      • 아비라 안티버


      그리고, 웹브라우저에서 악성 스크립트를 실행하는 웹서버의 실제 트래픽을 분석하기 위해서는 웹 소스를 봐야 하는 불편함이 있습니다. 물론 웹 브라우저에서 '소스 보기'를 통해 찾아 볼 수 있지만, 전문적인 프로그램의 도움을 받는 것이 좋습니다.

      소개할 프로그램은 HttpWatch 라는 프로그램으로 유료입니다. 물론, 저는 이 회사, 제품과 전혀 관련이 없습니다. 사용법은 직관적이므로 쉽게 알 수 있습니다. 따라서 생략합니다.


      이제 예를 들어보도록 하겠습니다. 예로 드는 부분은 최근 활동을 게시한 ASProx 봇넷이 공격한 형태인 아래 문자열이 있는 사이트입니다.

      구글 검색을 통해 현재 스크립트가 살아 있는 사이트를 찾아 냅니다. 그리고 웹브라우저를 열고 Shift-F2를 눌러 HttpWatch 프로그램을 실행합니다. 그런 후에 사이트에 방문합니다. HttpWatch에서 Find 버튼을 이용하여 "js.js" 문자열을 찾습니다.


      위의 소스를 보면 감염된 부분을 볼 수 있습니다.

      이와 같은 방식으로 웹 사이트에서 유포되는 방식을 실시간으로 분석할 수 있습니다. 물론, 최근에는 다운로더로 이동시키고, 복잡한 공격을 추가로 진행하는 경우도 많습니다. 이러한 경우도 하나하나 확인하다 보면, 쉽게 분석할 수 있습니다.

      감사합니다.

      관련자료: http://moonslab.com/989

      PS: 웹 브라우저로 감염된 사이트를 방문할 때에 안티바이러스 제품이 진단하여 차단하는 경우에는 잠시 실시간 감시를 중지시켜야 합니다. 따라서, 가상 시스템과 같이 안전한 상태에서 분석 작업을 진행해야 합니다.


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory