본문 바로가기

malware22

728x90
x64dbg 디버거 활용한 악성코드 행동 동적 분석 실습, 리버스 엔지니어링 실전 x64dbg는 Windows 플랫폼에서 가장 강력하고 널리 사용되는 오픈소스 디버거입니다. 리버스 엔지니어링, 악성코드 분석, 보안 취약점 연구, CTF 대회 등 다양한 분야에서 필수적인 도구로 자리잡고 있습니다. 처음 접하는 분들도 쉽게 이해하고 활용할 수 있도록 정리합니다.x64dbg란 무엇인가?1. 기본 개념과 특징x64dbg는 Windows 환경에서 실행되는 사용자 모드(User-mode) 디버거로, 32비트와 64비트 프로그램을 모두 디버깅할 수 있습니다. OllyDbg의 정신적 후속작으로 개발되었으며, 더욱 현대적이고 강력한 기능을 제공합니다.듀얼 아키텍처 지원: x32dbg(32비트)와 x64dbg(64비트) 두 가지 버전 제공직관적인 GUI: 복잡한 디버깅 작업을 시각적으로 쉽게 수행강력한.. 2025. 6. 27.
Wazuh 환경에서 Yara 룰 패턴(시그니처) 기반 탐지 모니터링 및 대응 Yara는 악성코드 분석 및 탐지에 널리 사용되는 오픈 소스 도구로, 악성코드 샘플 내의 패턴(시그니처)을 기반으로 파일을 분류하고 식별하는 데 사용됩니다. 간단한 문법의 Yara 규칙을 작성하여 특정 문자열이나 바이너리 패턴을 정의하고, 이를 통해 파일이나 프로세스가 해당 패턴을 포함하는지 여부를 확인할 수 있습니다.Yara의 주요 특징패턴 매칭: 텍스트 문자열, 헥사 값, 정규 표현식 등을 사용하여 복잡한 패턴 매칭이 가능합니다.조건 설정: 논리 연산자를 활용하여 다양한 조건을 설정할 수 있습니다.태그 기능: 규칙에 태그를 부여하여 분류 및 관리가 용이합니다.Yara 규칙의 기본 구조rule 룰_이름 { strings: $str1 = "악성코드_패턴1" $str2 = {.. 2025. 2. 19.
macOS에서 osascript 활용한 보안 위협 및 대응 가이드 osascript는 macOS에서 AppleScript와 JavaScript 코드를 실행할 수 있는 명령줄 도구로, 자동화 및 시스템 제어 목적으로 사용됩니다. 그러나, 공격자들이 이 도구를 악용하여 시스템 제어 및 악성 행위를 수행하기도 해 주의 깊은 모니터링이 필요합니다.osascript 개요기본 정보: osascript는 macOS 내에서 AppleScript와 JavaScript 명령을 실행하는 CLI(Command Line Interface) 도구입니다. osascript는 일반적으로 애플리케이션 자동화, 시스템 제어 및 스크립팅에 사용됩니다.악용 가능성: 공격자는 osascript를 통해 AppleScript를 실행하여 시스템 파일 접근, 키 입력 시뮬레이션, 애플리케이션 제어, 악성 다운로드.. 2025. 2. 4.
LD_PRELOAD 악용 기반 네트워크 장비 백도어 탐지 및 대응 방안 LD_PRELOAD를 악용하는 백도어는 네트워크 장비나 리눅스 기반 시스템에서 시스템 프로세스를 후킹해 공격자가 제어권을 장악할 수 있도록 설계된 악성코드 유형입니다. 해당 유형의 보안 위험 요소, 탐지 및 모니터링 방법, 그리고 대응 방안 예시를 통해 설명합니다.LD_PRELOAD를 이용한 백도어의 보안 위험 요소1. LD_PRELOAD 개념과 악용 방식LD_PRELOAD는 리눅스 환경에서 특정 공유 라이브러리를 로드할 수 있도록 허용하는 환경 변수입니다. 공격자는 이를 이용해 정상 프로세스(/bin/sshd 등)를 후킹하여 다음과 같은 작업을 수행할 수 있습니다:특정 네트워크 트래픽(ICMP)을 모니터링해 C2(명령 제어) 서버와 연결.SSH 연결을 후킹하여 악성 쉘이나 패킷 캡처를 수행.원격 SOC.. 2025. 1. 25.
Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19.
728x90
728x90