May 22, 2015

Solaris(with Sun’s SPARC HW) wtmpx Analyzer

얼마 전 지인의 요청으로 Sun Sparc 장비(솔라리스)의 사용자 접속 로그를 분석할 일이 있었다. 리눅스/유닉스 시스템은 보통 현재 접속 중인 세션 정보는 utmp/utmpx에 저장하고 접속 누적 정보는 wtmp/wtmpx 에 저장하고 있어서...

May 21, 2015

Mumblehard 악성코드의 몇가지 특징

mumblehard는 ESET에서 관리하는 블로그인 WeLiveSecurity를 통해 알려진 악성코드로 Linux와 FreeBSD를 둘 다 지원하는 멀티플랫폼 악성코드이다. ESET에 있는 보고서가 잘 정리되어 있으니 그 내용을 참조하기 바라며, 이 글에선 필자가 흥미롭게 본...

April 21, 2015

악성코드 동적 분석 시스템 탐지 기법(Bypass dynamic malware analysis system)

1. 서론 동적 분석 시스템은 시그니처 기반 보안 제품만 사용할 때 간지러운 부분을 긁어주는 역할을 한다. 동적 분석 시스템은 악성 유무가 판단되지 않는 파일을 샌드박싱된 공간에 넣어 구동시키고 그 행위를...

January 01, 2015

REGIN의 은닉 기법 및 대응 방법

I. 서론 2014년 말에는 차세대 Stuxnet이라 불리는 Regin가 전세계 정보 보안 분야를 핫하게 만들었다. (이 글을 쓰는 시점에 소니 픽처스와 대한민국의 한수원 사태 덕에 묻혀버렸지만..) Regin은 사이버 첩보(Cyber espioinage) 임무를...

December 03, 2014

메모리에서 덤프한 KEXT 분석 시 심볼 정보 맞춰주기

1. 서론 메모리에서 덤프한 파일을 IDA와 같은 디스어셈블러로 분석할 때 가장 곤란한 점은 제거된 임포트 함수 정보이다. 임포트 함수 정보는 심볼 테이블에 정의되어 있으며, 이 테이블에는 프로그램이 임포트할 라이브러리와 함수...