study14 CrowdStrike Falcon 제품으로 인한 Windows 시스템 비정상 종료 (블루스크린) 관련 조치 개요CrowdStrike社가 2024년 7월 19일 04시 09분 (UTC+0)에 배포한 Falcon 제품군 Windows 시스템에 센서 구성 업데이트해당 센서 구성 업데이트는 Falcon 플랫폼의 보호 메커니즘 부분최신 패치 적용 시 윈도우 시스템 중 영향을 받는 시스템에서 시스템 충돌 및 블루스크린(Blue Screen of Death, BSOD) 초래영향2024년 7월 19일 04시 09분 (UTC+0) 부터 2024년 7월 19일 05시 27분 (UTC+0) 사이에 온라인 상태였던 Windows 버전 7.11 이상의 Falcon을 사용하는 시스템 충돌 (블루스크린)TV 방송국, 은행, 항공사 등이 영향을 받으며 방송 중단, 업무 마비 등 문제특히, 유럽에 있는 기업들이 업무를 시작하면서 문제 .. 2025. 11. 18. 다크웹 사이트 접속 방법 사실 이 글을 쓸까말까 고민을 좀 했었다.다크웹을 접속하기 위해서 이 글 뿐만 아니라 다른 글을 보면 알겠지만, 다크웹 접속 자체는 불법이 아니다.그러나, 다크웹에서 불법적인 행위를 하면 그것이 불법이다.또한, 다크웹이 100% 익명성을 보장하진 않는다.다크웹 - 특정 소프트웨어나 인증을 통해서만 접근할 수 있는 사이버 공간딥 웹 - 구글이나 네이버 등의 검색 포털에서 접근할 수 없는 모든 곳 다크 웹 뿐만 아니라 사내망 등의 인트라넷도 포함됨서피스 웹 - 포털에서 검색되는 웹 페이지들TOR - Onion 계열 다크웹만 접속 가능 .onion으로 끝남 미국 해군 연구소에서 사용 중임DarkWeb 접속 방법설치https://www.torproject.org/projects/torbrowser.ht.. 2025. 11. 18. APT 문서형 악성코드 분석 문서형 악성코드(1) 문서형 악성코드는 문서에 악성코드를 은닉, 위장해 삽입하고 공격하는 방식(2) 비즈니스 업무 시 문서가 필수적인 부분을 노려, 이메일 첨부파일 속에 삽입하여 배포하는 방식을 사용(3) 대표적인 문서형 악성코드 공격 방법은 아래와 같다A. 문서파일 위장B. 악성 스크립트 삽입C. 문서 편집 프로그램 취약점OLE(Object Linking & Embedding) 개체"개체(Object)"란 윈도우용 응용프로그램이 만들어낸 결과물이라고 할 수 있다.즉, 한글과같이 문서를 작성하는 프로그램에서는 문서가 개체가되고,음악을 만드는 프로그램에서는 음악 파일이 개체가 된다.이처럼 개채는 글자, 그림, 소리, 차트, 수식, 표등 다양하다."개체 연결과 포함(OLE:Object Linking & E.. 2025. 11. 18. 악성코드 유사성 비교 방법 인증된 정상 파일(rundll32.exe, windows update.exe, ...)과 비교해서 악성코드인지 아닌지 확인이 필요할 경우악성 행위를 하는 부분만 빠르게 찾아낼 수 있음예) user32.dll 정상 파일과 비교 중인 악성코드의 함수가 1개 빼고 모두 같을 경우 해당 함수가 악성이라고 빠르게 판단 가능기분석된 악성코드와 비교하여 얼마나 비슷한지 확인이 필요한 경우기분석된 내용은 재분석할 필요가 없음예) xmrig.exe 정상 파일과 비교중인 악성코드가 95% 이상 유사할 경우 Mining 코드에 대한 함수 분석은 필요 없음악성코드 분류가 안될 경우(어떤 악성코드인지 잘 모를 경우)특정 악성코드로 분류된 다른 악성코드와 비교해 유사한 경우, 분석 중인 악성코드를 특정 악성코드로 분류한 후 .. 2025. 11. 18. 악성코드 분석 시 C&C 서버 다운으로 통신 실패할 때 데이터 내용 확인 방법 C&C 서버 다운 시, Wireshark에서 Client가 어떤 데이터를 보내려 했는지 확인 불가Client가 보내려 한 데이터 확인 시악성코드 종류 판별에 도움 데이터만 필요할 경우, C&C와 통신 가능한 다른 악성코드 샘플을 재탐색할 필요 없음 요청 데이터에서 C&C 서버 이름이나 쿼리된 URL 등 네트워크 시그니처 파악 가능[TCP 연결 과정]C&C Client의 데이터 송수신은 대부분 TCP로 이루어짐TCP 네트워크 과정에서 Three-Way Handshaking이 선행되어야 데이터 송수신이 가능[C&C 서버 다운으로 TCP 연결 실패 시]C&C 서버가 다운되었을 경우 RST 패킷만 돌아오게 됨이 경우 TCP 연결을 맺지 못하므로 감염된 PC에서 어떤 데이터를 보내려고 했는지 확인 불가.. 2025. 11. 18. dnSpy를 이용한 .NET 악성코드 분석 방법 [.NET 악성코드의 꾸준한 증가]Infostealer와 RAT 악성코드에서 꾸준히 .NET을 사용해 악성코드를 제작 중현재 전세계에서 유행하는 악성코드 top 10 중에서 .NET으로 제작되거나 패킹된 악성코드가 5 종류 이상 - AgentTesla, Formbook, Nanocore, Remcos, AsyncRAT 등[.NET 악성코드 특징].NET C# 컴파일 과정은 1차 컴파일과 2차 컴파일 과정을 거침1차로 IL(Intermediate Language)이라는 중간 언어로 컴파일 한 후 2차 컴파일을 거쳐 PE파일 생성IL로 1차 컴파일 되는 특성 때문에, OllyDBG나 IDA에서 흐름이 제대로 보이지 않음 >> IL을 분석하는 것이 용이.NET 악성코드의 특성 상 Import Table, Se.. 2025. 11. 18. 이전 1 2 3 다음
