[프로젝트] 보안관제 프로젝트

Install.exe 악성코드 분석 보고서.pdf
2.96MB

1. 프로젝트 소개

snort 기반 악성코드 탐지 패턴을 개발하기 위해, 네트워크 행위를 하는 악성코드 샘플을 수집하여 분석을 진행하고 관련된 내용을 악성코드 분석보고서를 작성하였다.

 

또한 악성 트래픽을 탐지하기 위한 보안관제 환경을 구축하고 snort룰을 적용하여, 악성 네트워크 행위를 탐지하는 실습을 수행하였다.

 

2. 프로젝트 회고

2.1 악성코드 분석 업무에 대한 자신감

악성코드 샘플링, 악성코드 기초/정적/동적 분석, snort 룰 작성등의 전반적인 과정등을 수행하면서 실무에서도 악성코드 분석 업무를 빠르게 숙지할수 있겠다는 자신감이 생겼다.

 

2.2 신속한 분석의 중요성

악성코드 분석도중 악성코드의 네트워크 행위가 중단되어 다시 새로운 악성코드 샘플을 수집해야하는 문제가 있었는데, 악성코드 분석 업무에서는 신속함이 중요하다는것을 느꼈다.

 

2.3 정적/동적 방해기술

분석한 악성코드 샘플 중에는 정적/동적 분석을 방해하는 기술로 인해, 이상한 문자열이나 동적 분석 프로그램이 제대로 실행되지 않는 문제가 있었는데, 해당 부분에 대한 해결방법을 찾지 못하고, 기초분석에서 다른 사람이 분석한 내용을 기반으로 분석을 수행했다는것에 아쉬움이 남는다. 

 

2.4 Snort 룰

악성코드의 네트워크 행위를 탐지하기 위한 IP 주소 기반의 Snort 룰을 작성하였다. 하지만, IP주소는 쉽게 바뀔수 있기 때문에 적절하지 않은 룰 작성 방식이라는 점을 인식하게 되었다. 이러한 경험을 바탕으로, TryHackMe와 같은 실습 사이트를 통해서 정탐률을 높이기 위한 개선된 룰 작성방식을 추가적으로 해나갈 예정

 

 

프로젝트 진행중 작성한 포스팅

 

스노트(Snort) 룰 작성을 위한 개념

1. 스노트(snort)란?snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다. 여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detectio

rybbit-life-debugging.tistory.com

 

 

네트워크 패킷 모니터링을 위한 Snort 환경 구축

Snort 환경을 구축하기 위해서는 다양한 프로그램을 설치해야한다. 설치 과정에서 버전 차이로 인한 호환성 문제와 구성파일 수정 과정에서 잦은 오류가 발생할수 있으므로, 차분하게 시간여유

rybbit-life-debugging.tistory.com

 

 

 

참고자료