네트워크 포렌식 강의 메모정리

 

[네트워크 포렌식] 3주차

 

PE static infomation

 

Constant values

, 복호화 함수들(이미 알려져있는 복호화알고리즘인지, 커스텀으로 만든 함수인지 식별이 필요)

Base64같은 경우 쉽다.

 

LSH : Locality Sensitive Hash, 청킹? 바이너리가 만약 250키로바이트, 짧은 해쉬길이에 표현하려면 ..

• 바이러스토탈에도 적용이 되어 있다.

TLSH가 많이 쓰임

, 수학적인 것..

연구주제(수학자, 백신)

• 백신 유사도 검색엔진 만들 때 좋음, 인텔리전스하기 좋음

 

• 악성코드 안에있는 pe파일을 뜯어보면 특징적인 문자열을 찾아내야 함, 특징없는 문자열도 알아야 함

• 오픈소스 라이브러리 문자열을 썻을 경우, ssl 라이브러리를 사용했을 경우 사용되는 문자열, rsa, des등등 ,, 의미 없는 것, 그 라이브러리를 썻기 때문에 생성되는 문자열은 지워야 할 것

• Registry 주소,

• 문자열 거리 계산 알고리즘?

• 문자열들을 이어붙이는 것,

 

Constant values : opcode만을 이용하여 유사도를 측정하게 될 경우, operand에 대한 판단은 배제. 오퍼랜드안에서도 의미있는 데이터를 추출해내자. 유사도 판단에 이용할 수 있다.

인코딩/디코딩함수, 암복호화 함수 최초 키값은 상수값, 오퍼랜드에 상수로 들어가 있다..*

뒤에 xor키 값까지 같다. 그럼 정확도는 올라감.

 

• 리치 헤더 : 공식적으로 공개하지 않은 .. 양덕, ?? 비주얼스튜디오로 컴파일시 링킹파일에 의해 생성, 컴

• PE파일의 resource섹션에는 많은 정보가 포함, 같은 icon으로 변종을 다수 만든사례 - 갠드크랩, 랭귀지코드

 

• Rich Header : IDS snort Rule, 탐지룰, 뒤에 데이터 영역을 다 보지는 않고 1000바이트만 탐지한다. 공격자를 특정하거나 특정하고 싶은 악성코드를 탐지할수있는 정보가 리치 헤더에 있다. 개인정보에 영향을 미치지 않고, pefile, exe, dll file,

• mCV : 각 도구의 마이너 버전

• ProdID : Product ID, 도구별 고유 ID

• Count : Linker에 의해 컴파일 될때 ProcID에 해당하는 도구가 사용된 횟수

 

끝에 Rich로 끝난다.

 

Xor 키값이 박혀있다. Rich라는 단어 뒤에 , hex 값으로보면 A3 D2 F3 B4 , 같은 컴파일러를 쓰더라도 주기적으로 바뀌며, 1달이상 유지가 된다. 정확히 알기위해서는 link.exe를 리버싱..해야한다.

 

BLUENOROFF 계열 악성코드, Rich Header component ID (CryptoSVC, ProxySVC)

C&C Server

 

프록시 기능

 

리치헤더 유사도..

 

Commodity Malware

Crimeare

Raas(Ransomware as a service)

 

-> 유포자가 따로 있고, 공급책이 따로있다.

-> 돈 주고 사서 배포할 수 있다.

암호화해주는 서비스는 크립팅서비스, 패커만 만들어주는 조직이 따로있다.

 

리치헤더 조작가능 (평창동계올림픽 공격), 북한소행의 것으로 비추도로고 조작

 

생소한 디코딩 알고리즘-tiny encryption algorithm

 

————————————————————————————————————

운영체제에 의해서 자동으로 바뀌는 정보, 데이터들, 파일 포맷별로. 아직 안 밝혀 진것이 많다. Ex) PE FIle, LNK file 등

파일포맷에 대한 연구를 해도 좋다.

 

엘크?

 

바토에 악성코드 업로드 - 샘플을, 업로드 시 submitter id가 생성, 해당 계정의 api

• 공격자가 바토에 샘플을 올려 백신탐지 테스트를 위하여 업로드한다.

 

3주차까지는 PEfile을 통한 공격자 식별 등에 대한 수업. PEfile 분석하면서 나오는 공격자들에 대한 정보를 수집하고 ,.

 

네트워크 단에서 도메인 레지스트리, 레지스트라, 네트워크 기반 공격자 식별 방법 연구..

프로토콜에 대한 이해

이메일 정보 등 (구글 볼트)

 

I know you download,

 

Torent protocol 에 대한 분석,