반응형

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.






작년 1월에 패턴추출한 이후...


1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)


패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^





제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..


패턴 갯수 : 2165개

추출 패턴 : 2170개..?





5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)





보이시나요?


작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)


휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.


자.. 이제 여기서 우리가 깨닳아야되는 진실...


패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)


MC Finder 가 뭔지 모르시는 분들을 위해..





악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...


악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..


하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......


해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.


하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.


to be continued..





반응형

'작업공간 > Security' 카테고리의 다른 글

모 반도체회사 취약점 조치완료.  (0) 2013.01.16
모 반도체회사 취약점.  (0) 2013.01.15
서강대 정보통신대학원 해킹??  (2) 2013.01.14
KISA 포상금제도  (8) 2012.12.14
탐지TEST용 도구  (0) 2012.05.18
반응형
작년 1월 경, 휘슬 패턴을 추출한적이 있습니다.
지인이 해보라고 해서.. 했던거고.. 그땐 그걸 어떤식으로 사용할 수 있을지를 몰랐더랬죠..
1년이 지난 얼마전에 다시 한번 휘슬 패턴을 추출하였습니다.
역시.. 이번 추출도 공부 목적!!
(단, 저번에는 뚫는데 목적이 있었으나.. 이번엔 웹쉘 탐지패턴을 이해하고자 하는 바램에서.. ^^;)

근데 저번이랑 똑같은 프로그램인데도.. 작년이랑 틀리게.. 너무 쉽게 풀어버렸습니다;;
작년엔 왜 코드의 흐름을 그렇게 생각했을까요? ^^;;

암튼.. 아래가 휘슬 패턴의 일부분 입니다.


너무 작나요? ^^; 클릭하면 크게 보일지도 모르겠네요..

좌측이 작년버전.. 우측이 얼마전에 추출한 버전입니다.
뭔가 이상한게 보이시나요?

네. 패턴 넘버는 똑같은데 패턴이 조금 변경된 것들이 다수 있네요.
네. 패턴이 삭제된 것들이 있네요.
네. 패턴이 추가된 것들이 있네요.

홈페이지에도 패턴 업데이트 관련 공지사항이 없어 언제 업데이트가 된건진 모르겠으나..
업데이트가 되고있고
업데이트 시, 패턴 파일 전체가 업데이트 되는 듯 싶으며..
꾸준히 관리하면서 오탐나는 패턴은 수정/삭제가 이루어지는 듯한 모습이네요.

올해 추출한 패턴은 1144개.
구체적으로 추가/변경/삭제 된 패턴은 비교분석해봐야 알겠지만.. 이 또한 공부가 많이 되겠네요 ^^


반응형
반응형

KISA 에서 Web Hacking Inspection Security Tool라는.. 줄여서 WHISTL..
휘슬이라는 툴을 민간에 배포하여 WebShell과 Malware Domain URL을 탐지하는 솔루션이다.

해당 툴을 받아서 으샤으샤!! 하면 툴안에 있는 다양한 패턴들을 확인할 수 있다.

별로 어렵진 않으니 휘슬을 구할 수 있게되면 한번정도씩 패턴이 어떤게 들어있는지 보면서 공부하는 것도 좋을 것 같다.



휘슬이란게 존재한다는 것만 알았지, 한번도 쓸 생각을 안해봤었는데
개인적으로 안타까운 점은 아래와 같다.
1. Not use packer.
2. Not use Anti-Reverse technic.
3. Decode code Locate to code head.
4. Not use decoding to need

영어를 못하는지라.. 당연히 문법에 맞지 않았을테지만.. 아쉬운건 저런 부분?
(알아서 해석? ^^;;)
4번의 경우는 속도면에서 당연히 뺀거겠지만.. 확장자를 지정해서 Search 하는데.. 굳이 저랬어야되었을까.. 라는 생각이 =_=;





반응형

'작업공간 > Tool' 카테고리의 다른 글

Zeus Builder 1.3.2.1  (0) 2011.01.24
Spyeye 1.2.60 Builder  (0) 2011.01.24
6 Hex Editors for Malware Analysis  (0) 2010.10.13
MDecoder  (0) 2010.10.13
OllyDBG 2.0 Release  (0) 2010.06.07

+ Recent posts