µðÁöÅÐÆ÷·»½Ä ¹× ³×Æ®¿öÅ© º¸¾È Àü¹®¾÷üÀÎ Àμ½½ÃÅ¥¸®Æ¼(´ëÇ¥ ±èÁ¾±¤, www.insec.co.kr )´Â ¿À´Ã, ¸Ö¿þ¾î ºÐ¼® ¼Ö·ç¼Ç ±â¾÷ÀÎ Á¶½ÃÅ¥¸®Æ¼(JoeSecurity)°¡ ¼¼°è ÃÖÃÊ·Î º£¾î ¸ÞÅ»(°¡»óÈ°¡ µÇÁö ¾ÊÀº ¹°¸® ¼¹ö)¿¡ ´ëÇÑ ¸Ö¿þ¾î ºÐ¼®À» ¼öÇàÇÏ´Â ¾Ç¼ºÄÚµå Á¤¹Ð ºÐ¼® ¾îÇöóÀ̾ð½º(Àåºñ)ÀÎ ‘Á¶ »÷µå¹Ú½º(Joe Sandbox) A1’À» Ãâ½ÃÇÑ´Ù°í ¹àÇû´Ù.
Á¶»÷µå¹Ú½º A1Àº Á¶ »÷µå¹Ú½º µ¥½ºÅ©Åé(Joe Sandbox Desktop: µ¥½ºÅ©Åé ¹× ¸ð¹ÙÀÏ ÀåºñÀÇ ¾Ç¼ºÄÚµå ºÐ¼® ±â´É žÀç)ÀÌ ¼³Ä¡µÈ ÃʼÒÇü NUC(Next Unit of Computing) PC ÆûÆÑÅÍ ±â¹ÝÀÇ °·ÂÇÑ µ¶¸³ Çü Àåºñ´Ù.
ÃÖ±Ù ´ëºÎºÐÀÇ ¾Ç¼ºÄÚµåµéÀº »÷µå¹Ú½º°¡ »ç¿ëÇÏ´Â °¡»ó¸Ó½ÅÀ» ½±°Ô ŽÁöÇÏ°í ¿ìȸÇÑ´Ù. Á¶»÷µå¹Ú½º A1Àº VirtualBox, VMware ¶Ç´Â KVM °ú °°Àº °¡»ó ¸Ó½ÅÀ» »ç¿ëÇÏÁö ¾Ê°í, ½ÇÁ¦ ¹°¸® ÀåºñÀÎ NUC(Next Unit of Computing) Çϵå¿þ¾î¿¡¼ ¾Ç¼ºÄÚµå Á÷Á¢ Á¤¹ÐºÐ¼®ÇÑ´Ù. ƯÈ÷ Á¶ »÷µå¹Ú½º A1Àº HBI(Hypervisor Based Inspection: ÇÏÀÌÆÛ¹ÙÀÌÀú ±â¹Ý °Ë»ç) ±â¼úÀ» »ç¿ëÇÏ¿© ³×Æ®¿öÅ©·Î ¿¬°áµÈ ¸ðµç ¿î¿µÃ¼Á¦ÀÇ ¾Ç¼ºÄÚµå ºÐ¼®À» Áö¿øÇÑ´Ù.
ÀÌ¿Í ÇÔ²² Á¶ »÷µå¹Ú½º A1Àº ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ŽÁöÇÏ°í ºÐ·ùÇϱâ À§ÇØ 959°³ ÀÌ»óÀÇ ¾Ç¼º ÇàÀ§ ½Ã±×´Ïó ±â¹Ý ºÐ¼®À» Á¦°øÇÑ´Ù.
Á¶ »÷µå¹Ú½º A1ÀÇ ÁÖ¿ä ±â´ÉÀº ´ÙÀ½°ú °°´Ù.
- º£¾î ¸ÞÅ» ±â¹Ý ¼¹ö ¾Ç¼ºÄÚµå Á¤¹Ð ºÐ¼®: Á¶ »÷µå¹Ú½º A1Àº VMware, KVM, Virtual Box¿Í °°Àº °¡»óÈ ¼Ö·ç¼ÇÀ» »ç¿ëÇÏÁö ¾Ê°í º£¾î ¸ÞÅ» ±â¹ÝÀ¸·Î ¾Ç¼ºÄڵ带 ½ÇÇàÇÏ°í ºÐ¼®ÇÑ´Ù. ÀÌ·¯ÇÑ Æ¯Â¡À¸·Î ¾Ç¼ºÄÚµåÀÇ °¡»ó ¸Ó½Å °¨Áö ¹× ¿ìȸ¸¦ Â÷´Ü ÇÒ ¼ö ÀÖ´Ù.
- HBI(Hypervisor Based Inspection: ÇÏÀÌÆÛ¹ÙÀÌÀú ±â¹Ý °Ë»ç) ±â´É Á¦°ø: Á¶ »÷µå¹Ú½º A1¿¡´Â HBI(Hypervisor Based Inspection: ÇÏÀÌÆÛ¹ÙÀÌÀú ±â¹Ý °Ë»ç)ÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ÇØ´ç ±â¼úÀ» ÅëÇØ À¯Àú¸ðµå(Usermode) ¹× Ä¿³Ú¸ðµå(KernelMode)ÀÇ API¿Í ½Ã½ºÅÛ ÄÝ(System Call) ¹× ¸Þ¸ð¸® ¿î¿µ ÇöȲ µîÀ» °¨½ÃÇÏ°í ÃßÀûÇÏ°í ºÐ¼®ÇÑ´Ù.
- 959°³ ÀÌ»óÀÇ ÇàÀ§ ½Ã±×´Ïó Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº ¼ÐÄÚµå(Shell Code: °ø°ÝÀÚ°¡ ¾Ç¼ºÄڵ忡 °¨¿°µÈ PC¿¡ ¸í·ÉÀ» ³»¸®±â À§ÇØ »ç¿ëÇÏ´Â º°µµÀÇ Ã¢(shell)À» ½ÇÇàÇÏ´Â ¼ö¹ý), ÀͽºÇ÷ÎÀÕ(Exploit), È®»ê(Spreading), µ¥ÀÌÅÍ À¯Ãâ, C&C Åë½Å µî ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ŽÁöÇÏ°í ºÐ·ùÇϱâ À§ÇØ 959°³ ÀÌ»óÀÇ ¾Ç¼º ÇàÀ§ ½Ã±×´Ïó ±â¹Ý ºÐ¼®À» Á¦°øÇÑ´Ù.
- ¾ß¶ó(Yara) ¹æ½Ä Áö¿ø: Á¶ »÷µå¹Ú½º A1Àº Á» ´õ Á¤±³ÇÑ ¾Ç¼ºÄÚµå ŽÁö¸¦ À§ÇØ ¾ß¶ó ¹æ½Ä(Yara rule: ¾Ç¼ºÄÚµå À§ÇùÀ» È®ÀÎÇÏ°í Á¤¸®Çϱâ À§ÇØ °í¾ÈµÈ ¿ÀÇ ¼Ò½º Åø)À» Áö¿øÇÑ´Ù. ºÐ¼®À» ÇÏ´Â ¸ðµç »ùÇÃ, ´Ù¿î·Îµå µÈ ÆÄÀÏ, ¸®¼Ò½º ¹× ¸Þ¸ð¸® ´ýÇÁ¸¦ ¾ß¶ó ¹æ½ÄÀ¸·Î °Ë»çÇÑ´Ù. ¶ÇÇÑ ºÐ¼® µ¥ÀÌÅ͸¦ ±â¹ÝÀ¸·Î ´Ù¾çÇÑ ¾ß¶ó ¹æ½ÄÀ» »ý¼ºÇÒ ¼ö ÀÖ´Ù.
- µ¿Àû VBA ºÐ¼® ¹× ÀÚ¹Ù½ºÅ©¸³Æ® ºÐ¼®: Á¶ »÷µå¹Ú½º A1Àº MS Office(doc, docx, docxm µî)¿¡ Æ÷ÇÔµÈ VBA(Visual Basic For Applications, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿ÀÇǽº ÀÀ¿ë ÇÁ·Î±×·¥¿ë ¾ð¾î) ¸ÅÅ©·Î ¹× ÀÚ¹Ù½ºÅ©¸³Æ®(Javascript)ÀÇ ¸ðµç ¸Þ¼Òµå ¶Ç´Â API È£ÃâÀ» ¸ð´ÏÅ͸µÇÑ´Ù. ¸ð´ÏÅ͸µ Á¤º¸¸¦ ÅëÇØ ÄÝ(Call) ±×·¡ÇÁ¸¦ »ý¼ºÇÏ°í ÆäÀ̷εå URLÀ» ŽÁöÇÑ´Ù. ¶ÇÇÑ VBA¿¡ HookÀ» ¼³Ä¡ÇÏ¿© ÇÔ¼ö ¸Å°³ º¯¼ö¿Í ¹Ýȯ °ªÀ» ¼öÁ¤ ÇÒ ¼ö ÀÖ´Ù.
- HCA(Hybrid Code Analysis: ÇÏÀ̺긮µå ÄÚµå ºÐ¼®) Áö¿ø: Á¶ »÷µå¹Ú½º A1 ÀÇ HCA(Hybrid Code Analysis: ÇÏÀ̺긮µå ÄÚµå ºÐ¼®) ±â´ÉÀº Á¤Àû ¹× µ¿Àû ºÐ¼®À» °áÇÕÇÏ¿© ÆÄÀÏÀ» ºÐ¼®ÇÑ´Ù. ¶ÇÇÑ ÆÄÀÏ ³» ȸÇÇ(evasion) ±â´É, ¼û°ÜÁø ±â´É, ¼û°ÜÁø ÆäÀ̷εå, ¼û°ÜÁø ÄÚµå µîÀ» ºÐ¼®ÇÏ¿© Á¤º¸¸¦ Á¦°øÇÑ´Ù.
- EGA(Execution Graph Analysis: ½ÇÇà ±×·¡ÇÁ ºÐ¼®) Áö¿ø: Á¶ »÷µå¹Ú½º A1ÀÇ EGA(Execution Graph Analysis: ½ÇÇà ±×·¡ÇÁ ºÐ¼®)´Â ÆÄÀÏÀÇ ½ÇÇà È帧À» ºÐ¼®ÇÏ¿© ÁÖ¿ä API È£Ãâ ±â´É, ³»ºÎ ÇÔ¼ö È£Ãâ µîÀ» ½Ã°¢ÈÇÏ¿© Á¦°øÇÑ´Ù.
- SSL ÇÁ·Ï½Ã ±â´É Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº º¸¾ÈÀÌ °ÈµÈ À¥»çÀÌÆ®ÀÎ HTTPS Æ®·¡ÇÈÀ» °Ë»çÇϱâ À§ÇØ SSL(Secure Socket Layer) ÇÁ·Ï½Ã ±â´ÉÀ» Á¦°øÇϸç, HTTPS·Î Åë½ÅÇÏ´Â µ¥ÀÌÅ͸¦ ºÐ¼®ÇÒ ¼ö ÀÖ´Ù.
- ¼µåÆÄƼ ÅëÇÕ(Third Party Integrations): Á¶ »÷µå¹Ú½º A1Àº Ÿ»çÀÇ ´Ù¸¥ µµ±¸¿Íµµ ¿¬µ¿Çؼ »ç¿ëÇÒ ¼ö ÀÖ´Ù. VirusTotal, MetaDefender, TheHive, Fame, MISP ¹× CRIT¿Íµµ ¿¬µ¿µÇ¸ç Phantom, Viper, Malsub ¿Íµµ ÅëÇյȴÙ.
- RestFul WEB API Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº RestFul WEB API¸¦ Á¦°øÇϱ⠶§¹®¿¡ ±âÁ¸ÀÇ À§Çù ÀÎÅÚ¸®Àü½º ½Ã½ºÅÛ°ú ¿¬µ¿ÇÒ ¼ö ÀÖÀ¸¸ç ´Ù¾çÇÑ È®À强À» °¡Áö°í ÀÖ´Ù.
- ÄîºÏ(CookBook) ±â´É Áö¿ø: Á¶ »÷µå¹Ú½º A1Àº CookBook ±â´ÉÀ» Áö¿øÇϸç, ÇØ´ç ±â´ÉÀ» ÅëÇØ ¾Ç¼ºÄÚµå ºÐ¼® Áß »ç¿ëÀÚÀÇ µ¿ÀÛÀ» ½ºÅ©¸³Æ®¸¦ ÅëÇØ Á¤ÀÇÇÒ ¼ö ÀÖ´Ù.
- IDA ProÁö¿ø: Á¶ »÷µå¹Ú½º A1Àº ¸Þ¸ð¸® ´ýÇÁ ÆÄÀÏ(ÇÁ·Î±×·¥ µð¹ö±× ¶Ç´Â ½Ã½ºÅÛ Å×½ºÆ®ÀÇ ¸ñÀûÀ» À§ÇØ ±â·ÏµÇ´Â ÆÄÀÏ) ¹× ºÐ¼®µÈ(UnPacking) ½ÇÇà(PE) ÆÄÀÏÀ» Á¦°øÇÏ¿© ºÐ¼®ÇÒ ¼ö ÀÖ´Â IDA Pro(ÄÄÇ»ÅÍ ¼ÒÇÁÆ®¿þ¾î ¿ë µð½º¾î¼Àºí·¯ÀÌ´Ù. µð½º¾î¼Àºí·¯´Â ±â°è¾î ÄÚµå·ÎºÎÅÍ ¾î¼Àºí¸®¾î ¼Ò½º Äڵ带 »ý¼ºÇÑ´Ù. ÀÌ°ÍÀº ´Ù¾çÇÑ ½ÇÇà ÆÄÀÏ°ú Áß¾Ó Ã³¸® ÀåÄ¡ ±×¸®°í ¿î¿µ üÁ¦¸¦ Áö¿øÇÑ´Ù ÇÁ·Î±×·¡¸Ó¿¡°Ô µð½º¾î¼ÀºíµÈ Äڵ忡 ÁÖ¼Ò°ªÀ» ÀνÄÇÑ ÈÄ ÁÖ¼®À» ´Þ¾ÆÁְųª ÇÁ·Î½ÃÀú¸¦ È£ÃâÇÒ ¶§ ½ºÅÿ¡ ½×ÀÌ´Â ÆĶó¹ÌÅ͵µ º¸±â ½±°Ô Á¤¸®ÇØÁÖ´Â µî Æí¸®ÇÏ°í À¯¿ëÇÑ °³¹ß Áö¿ø µµ±¸´Ù) Ç÷¯±×ÀÎÀ» Á¦°øÇÑ´Ù.
- Á¾ÇÕ ºÐ¼® º¸°í¼ Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº ½Ã½ºÅÛ, ³×Æ®¿öÅ©, ¾Ç¼º ÇàÀ§ µî ºÐ¼® ´ë»óÀÇ µ¿ÀÛ¿¡ ´ëÇÑ Á¾ÇÕ º¸°í¼¸¦ Á¦°øÇÑ´Ù. ¹®ÀÚ¿, µµ¸ÞÀÎ ¹× ÆÄÀϱ¸Á¶, È£Ãâ API, Child Process µî ¼ö¸¹Àº µ¥ÀÌÅÍ°¡ º¸°í¼¿¡ Æ÷ÇԵȴÙ.
- ´Ù¾çÇÑ ºÐ¼® µ¥ÀÌÅÍ Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº ºÐ¼®ÇÏ¸é¼ ¹ß°ßµÈ ¾Ç¼ºÄڵ尡 »ý¼ºÇÏ´Â ÆÄÀÏ, ¸Þ¸ð¸® ´ýÇÁ, ³×Æ®¿öÅ© ÆÐŶ ¹× ½ºÅ©¸°¼¦, ½©ÄÚµå, ¹®ÀÚ¿À» Ãß°¡ÀûÀ¸·Î Á¦°øÇÑ´Ù.
- ´Ù¾çÇÑ Æ÷¸ËÀÇ º¸°í¼ Á¦°ø: Á¶ »÷µå¹Ú½º A1Àº ºÐ¼® °á°ú¸¦ XML, JSON Çü½Ä°ú HTML, PDF Çü½ÄÀ¸·Î Á¦°øÇϸç, MAEC, CybOX, MISP ¹× OpenIOC°ú °°Àº Çü½ÄÀ¸·Îµµ Á¦°øÇÑ´Ù.
Á¶ »÷µå¹Ú½º A1¿¡ ´ëÇÑ º¸´Ù ÀÚ¼¼ÇÑ Á¤º¸´Â ±¹³» ÃÑÆÇ»çÀÎ Àμ½½ÃÅ¥¸®Æ¼(www.insec.co.kr) ¹× Á¶ ½ÃÅ¥¸®Æ¼ Á¦Ç° ¼Ò°³ »çÀÌÆ®(http://www.malwareanalysis.co.kr/a1 )¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù. Á¦Ç° °ü·Ã Ãß°¡ ¹®ÀÇ´Â e¸ÞÀÏ insec@insec.co.kr ȤÀº ÀüÈ(02-863-5687)¸¦ ÅëÇØ È®ÀÎÇÒ ¼ö ÀÖ´Ù. |