본문 바로가기

malware21

Wazuh 환경에서 Yara 룰 패턴(시그니처) 기반 탐지 모니터링 및 대응 Yara는 악성코드 분석 및 탐지에 널리 사용되는 오픈 소스 도구로, 악성코드 샘플 내의 패턴(시그니처)을 기반으로 파일을 분류하고 식별하는 데 사용됩니다. 간단한 문법의 Yara 규칙을 작성하여 특정 문자열이나 바이너리 패턴을 정의하고, 이를 통해 파일이나 프로세스가 해당 패턴을 포함하는지 여부를 확인할 수 있습니다.Yara의 주요 특징패턴 매칭: 텍스트 문자열, 헥사 값, 정규 표현식 등을 사용하여 복잡한 패턴 매칭이 가능합니다.조건 설정: 논리 연산자를 활용하여 다양한 조건을 설정할 수 있습니다.태그 기능: 규칙에 태그를 부여하여 분류 및 관리가 용이합니다.Yara 규칙의 기본 구조rule 룰_이름 { strings: $str1 = "악성코드_패턴1" $str2 = {.. 2025. 2. 19.
macOS에서 osascript 활용한 보안 위협 및 대응 가이드 osascript는 macOS에서 AppleScript와 JavaScript 코드를 실행할 수 있는 명령줄 도구로, 자동화 및 시스템 제어 목적으로 사용됩니다. 그러나, 공격자들이 이 도구를 악용하여 시스템 제어 및 악성 행위를 수행하기도 해 주의 깊은 모니터링이 필요합니다.osascript 개요기본 정보: osascript는 macOS 내에서 AppleScript와 JavaScript 명령을 실행하는 CLI(Command Line Interface) 도구입니다. osascript는 일반적으로 애플리케이션 자동화, 시스템 제어 및 스크립팅에 사용됩니다.악용 가능성: 공격자는 osascript를 통해 AppleScript를 실행하여 시스템 파일 접근, 키 입력 시뮬레이션, 애플리케이션 제어, 악성 다운로드.. 2025. 2. 4.
LD_PRELOAD 악용 기반 네트워크 장비 백도어 탐지 및 대응 방안 LD_PRELOAD를 악용하는 백도어는 네트워크 장비나 리눅스 기반 시스템에서 시스템 프로세스를 후킹해 공격자가 제어권을 장악할 수 있도록 설계된 악성코드 유형입니다. 해당 유형의 보안 위험 요소, 탐지 및 모니터링 방법, 그리고 대응 방안 예시를 통해 설명합니다.LD_PRELOAD를 이용한 백도어의 보안 위험 요소1. LD_PRELOAD 개념과 악용 방식LD_PRELOAD는 리눅스 환경에서 특정 공유 라이브러리를 로드할 수 있도록 허용하는 환경 변수입니다. 공격자는 이를 이용해 정상 프로세스(/bin/sshd 등)를 후킹하여 다음과 같은 작업을 수행할 수 있습니다:특정 네트워크 트래픽(ICMP)을 모니터링해 C2(명령 제어) 서버와 연결.SSH 연결을 후킹하여 악성 쉘이나 패킷 캡처를 수행.원격 SOC.. 2025. 1. 25.
Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19.
WhatsApp Business 메시징 파일 전송 보안 모니터링 자동화 WhatsApp은 2009년에 출시된 무료 메시징 애플리케이션으로, 현재 Meta (구 페이스북) 소유입니다. 전 세계적으로 널리 사용되는 WhatsApp은 간단한 사용자 인터페이스와 다양한 기능을 제공하여 인기를 얻었습니다. 주요 기능과 특징, 보안 관점, 활용 사례 등에 대한 설명입니다.주요 기능과 특징메시징: 문자 메시지, 사진, 비디오, 음성 메시지를 주고받을 수 있습니다.음성 및 영상 통화: 무료 음성 및 영상 통화를 지원하여 전 세계 어디서나 연결이 가능합니다.그룹 채팅: 최대 256명까지 그룹 채팅을 생성할 수 있습니다.상태 업데이트: 사용자들은 사진, 비디오, GIF 등을 24시간 동안 상태로 공유할 수 있습니다.파일 공유: 문서, PDF, 스프레드시트 등 다양한 파일 형식을 공유할 수 있.. 2024. 9. 16.
728x90