'분석'에 해당되는 글 3건

  1. 2012.04.06 CAP 파일 분석 시스템 (7)
  2. 2011.04.12 Dump to Proccess Memory
  3. 2011.01.27 리눅스 동적 라이브러리 분석
2012.04.06 15:48
 
 

네트워크 회사에 있다보니 CAP 파일이 굉장히 중요하다.

근데 CAP 파일 분석툴이 없다.

좀 더 정확히 이야기 하면 "CAP 파일 내부의 어떤 코드가 취약하고 어떤 악성코드가 심어졌고.." 라는 것을 의미한다.

"그걸 분석해서 뭐하려고?" 라고 이야기 할지는 모르겠지만

EXE 분석툴, SWF 분석툴.. 등 다양한 포멧을 분석할 수 있는 툴들이 많다.

하지만 왜 CAP 파일 분석툴은 없을까.. 라고 고민하게되었고 설계하고자 한다.

일단 CAP 파일을 분석하려면 아래와 같은 조건이 선행되어야 한다고 생각한다.


1. 세션별 트래픽 분류

2. 데이터 값에 대한 File format 확인 (파일종류 확인)

3. 다양한 취약점에 대한 이해

4. 결과값들의 연관관계


사실 정확히 이야기 하면 CAP 파일 분석툴은 필요가 없다.

해당 컴퓨터 내부에서 프로그램으로 동작하면 되는것이 아닌가..

하지만.. 내 실력이 미천하여.. CAP 파일을 생성한 이후, 그 CAP 파일을 분석하는 형태로 구성을 계획중이다.

해당 툴이 완성되면 아래와 같은 Flow로 분석을 진행할 예정이다.


ex) "취약점분석시스템"이란 제작할 툴을 이용하여 만들 시스템으로 웹서버로 URL을 받아들여 분석하는 시스템이다.

1. 보안관제 혹은 보안에 관심있는 사람들이 "취약점분석시스템"에 접근하여 URL을 입력한다.

2. 입력된 URL은 내부에 있는 가상머신을 통해 접근하게되며, 접근할 때 네트워크 트래픽을 덤프한다. (CAP)

3. 약 20초간 딜레이 -> CAP 파일 백업 -> Snapshot 복원

4. 생성된 CAP 파일을 분석툴을 이용하여 분석한다.

5. 분석툴은 내부적으로 알려진 취약점 및 악성코드, 경유지, 유포지 등을 수집/분석한다.

6. 수집/분석 된 결과를 "취약점분석시스템"에 보여준다.



이로 인해 예상되는 이익은 아래와 같다.

1. 분석시스템의 자동화로 인해 업무효율 상승

2. 신종 공격 발견 시간 단축

3. 악성파일 및 악성스크립트 수집

4. 알려진 공격과 알려지지 않은 신종공격에 대해 실시간으로 구별가능.

5. 샘플에 대한 처리률 상승


만들고는 있는데.. 언제쯤 완성될런지는..

일단 담주 금요일까지 완성을 목표로.~



저작자 표시 비영리 변경 금지
신고

'작업공간 > Network' 카테고리의 다른 글

Raw Socket 제한 (Syn Flooding 공격이 수행되지 않는 이유)  (2) 2013.02.21
탐지TEST용 도구  (0) 2012.05.18
CAP 파일 분석 시스템  (7) 2012.04.06
Port Scan  (0) 2012.02.16
Snort 룰 설명  (0) 2012.01.31
패킷에서 파일 추출하기 - 2  (2) 2011.12.29
Posted by Sun2Day

댓글을 달아 주세요

  1. applicationlayer 2012.04.08 15:05 신고  댓글주소  수정/삭제  댓글쓰기

    cap분석툴 있지 snort ㅋㅋ

    • Sun2Day 2012.04.09 18:03 신고  댓글주소  수정/삭제

      그거 말고..
      CAP 파일 세션별로 쪼개주고.. 세션내부에 있는 파일들 추출도 해주고..
      Javascript 도 Decoding 해주고. 그런 기능이요 ㅋ

  2. applicationlayer 2012.04.10 13:54 신고  댓글주소  수정/삭제  댓글쓰기

    오홋 다만들면 파는거야?^^

    • Sun2Day 2012.04.10 14:35 신고  댓글주소  수정/삭제

      잘만들 자신이 없어서
      일단 개념검증용으로 만들고 있고
      팀장님께서 OK 하시면 개발자 붙여달라고 하고
      설계만해주고 빠질려고요
      개념검증용이라고해도.. 왠만한 건 다 구현할꺼지만요 ^^;

  3. MaJ3stY 2012.04.22 11:36 신고  댓글주소  수정/삭제  댓글쓰기

    오호 재밌는 설계에요!! 근데 파일포맷 확인은 시그니처 기반인가요? 시그니처 기반말고도 다른 방법을 적용하면 조금 더 오탐율을 줄일 수 있을듯 ㅎ

    • Sun2Day 2012.04.23 09:37 신고  댓글주소  수정/삭제

      시그니처 이외의 방법을 생각하기가 쉽지 않더라고요 ^^;
      일단은 가볍게 시그니처로 했습니다.
      다른 보안 제품들의경우 행동기반이라 시그니처가 없니 뭐니 하지만 결국엔 행동을 탐지할 시그니처가 있어야되는거다보니.. 결과적으로 시그니처가 없는 탐지장비가 있을리가 없다는 생각이 ^^;;;
      여러가지로 생각하고 있습니다. 좋은 생각있으시면 나눠주세요 ㅎ

  4. MaJ3stY 2012.04.23 10:01 신고  댓글주소  수정/삭제  댓글쓰기

    저도 한번 고민해 볼게요 ㅎ

2011.04.12 10:43
 
 
해외 글들을 중간중간 보고 있긴한데
눈에 띄는 내용이 있길래 간단히 스크랩형식으로 글 하나 작성해봅니다.

내용은 루트킷이니 뭐니 장황하게 써놨지만

루트킷뿐만아니라 드롭퍼임에도 특정 조건에 맞지 않아서 드롭을 하지 않는 녀석(?)들에게도 통용되며 그리 어렵진 않지만 해보지 않으면 마냥 어렵게 느껴질 수 있는 그런 부분입니다.

사실.. 그냥 쉽습니다.

제가 포스팅용으로 글을 쓸 시간은 없고
아래 링크를 참조하시기 바랍니다.

저는 동영상과는 약간 틀리게하지만(툴만?) 결론적으로 따지면
특정 메모리가 할당이 되고 그 할당된  영역을 덤프를 떠서 파일로 만든다는
본질적인 것은 똑같습니다. ^^;

혹시 샘플이 있다면 아래 링크를 참조하여 직접 해보시는 것도 좋을 듯 합니다. ^^;

스크랩 :
http://www.prevx.com/blog/171/ZeroAccess-an-advanced-kernel-mode-rootkit.html

저작자 표시 비영리 변경 금지
신고

'작업공간 > Reverse' 카테고리의 다른 글

Unpack  (0) 2011.12.29
코어덤프 확인 및 생성방법  (2) 2011.06.20
gdb 단축키  (0) 2011.06.02
Dump to Proccess Memory  (0) 2011.04.12
WaledPak-D  (0) 2009.08.03
Panda Challenge 1 풀이  (2) 2009.07.27
Posted by Sun2Day

댓글을 달아 주세요

2011.01.27 13:08
 
 
http://www.ibm.com/developerworks/kr/library/l-dynamic-libraries/
저작자 표시 비영리 변경 금지
신고
Posted by Sun2Day

댓글을 달아 주세요


티스토리 툴바