레파지토리(Repository)의 버츄얼박스(Virtualbox)를 설치하든 공식 홈페이지에서 deb 파일을 받아서 설치하든 root 권한이 아닌 사용자(User) 권한으로 버츄얼박스를 실행하면 다음과 같은 경고(WARNING)를 보게 된다. $ virtualbox Error opening file for reading: Permission denied Qt WARNING: void DBusMenuExporterPrivate::addAction(QAction*, int): Already tracking action "S&tart" under id 16 Qt WARNING: void DBusMenuExporterPrivate::addAction(QAction*, int): Already tracking a..
1. Intoruduction HPFClient는 Honeynet Project Feeds Client의 약자로 Honeynet Project 도구들에 의해 발생하는 로그들을 통합 관리 하는 Honeynet의 또 다른 프로젝트이다. 2013년에 열린 SIGINT13에서 Honeynet Project Friends 라는 이름으로 리네임하고 Real-Time Social Data-Sharing 컨셉아래 새롭게 발표했다. 영상1. SIGINT13에서 hpfriends 발표 Real-Time Social Data-Sharing 컨셉은 각각의 사용자들이 주변의 사용자들과 함께 채널을 공유할 수 있다. 또한, 채널에 따라 접근 권한을 가지며 복수개의 채널에 가입할 수 있기 때문에 보다 자연스럽게 소셜기능을 이용할 ..
1. Introduction 메타데이터(Metadata) 는 "데이터의 데이터"로 특정 데이터를 구조화된 데이터로 표현하여 추가적인 활용을 할 수 있도록 하는 것을 말한다. Cuckoo 0.3.2 버전부터 메타데이터를 사용하기 시작했으며, Cuckoo 1.0 에서는 메타데이터를 MMDef로 리네임하여 모듈을 제공하고 있다. MMDef는 Malware MetaData Exchange Format의 약자이다. 2. Installation Cuckoo 1.0이 제대로 설치되어 운영이 된다면 추가적으로 설치할 부분은 없다. 3. Configuration MMDef 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf에서 설정할 수 있다. [mmdef]enabled = yes 4. Startin..
1. Introduction 미국 MITRE社의 프로젝트 중 MAEC(Malware Attribute Enumeration and Characterization)는 단순하게 표현하면 "악성코드 분석 결과에 대한 표준 언어" 라고 볼 수 있다. maec.mitre.org 에서 소개한 내용은 다음과 같다. MAEC는 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화 된 언어이다. MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확성을 제거하여, 시그니처에 대한 ..
1. 개요 N-gram이란 텍스트, 바이너리 등 전체 문자열을 N 값 만큼 서브스트링(Sub-String)으로 나누어 통계학적으로 사용한 방법을 의미한다. "기계학습"이라는 단어를 2-gram 기준으로 적용하면 "기계", "계학", "학습" 이라는 3가지 하위 문자열들이 각각 빈도수 1로 생성되게 된다. N-gram은 "귀납 학습" 범주에 속하는 학습 방법으로 구체적인 사례를 통해 공통점을 추출하는 형태이다. 이렇게 N-gram은 조각난 문자열을 통해 발생하는 출현 빈도를 암기(학습)하여 사용하는 것이다. 이 기법을 사용하는 대표적인 사례는 구글 북스 엔그램(Google Books N-gram)이 있다. 구글이 모든 책들을 디지털화 시키면서 함께 진행하는 프로젝트로 문화의 전개 방향이라던가, 시대가 보려..
Cuckoo Sandbox가 1.1로 릴리즈 되었습니다. Changelog- 정적 PE 분석에 imphash 추가- 웹 인터페이스에서 URLs로 검색 추가- 웹 인터페이스에서 PE imphash 검색 추가- 대기 중인 모든 시스템을 웹 인터페이스에서 볼 수 있도록 추가 - Django 웹 인터페이스에서 행위 카테고리(behavior category)에 필터링 추가- Django 웹 인터페이스에서 분석기 로그 추가- 작업과 관련된 스크린 샷을 검색 할 수 있는 REST API 추가- 작업과 관련된 PCAP을 검색 할 수 있는 REST API 추가- 데이터베이스 마이그레이션 유틸리티 추가- submit.py 유틸리티에서 원격 submission 기능 추가- 통계 생성을 위한 stats.py 유틸리티 추가- ..
1. Introduction cuckoo (여기서 사용한 cuckoo는 1.0버전이다.)에서 utils/web.py를 통해 웹 인터페이스를 이용할 수 있지만, web.py는 0.3 버전쯤 부터 시작된 오래된 인터페이스이다. 이 인터페이스는 단순한 형태를 가지고 있어 분석결과가 많은 경우 로드 시간이 오래걸리는 등 불편함이 존재한다. 이러한 불편함을 해소하기 위해 cuckoo 1.0 버전 부터는 단순한 설정과 설치만으로 MongoDB를 이용하여 파이썬 웹 프레임워크인 Django를 이용하여 좀더 효율적인 웹 인터페이스를 운영할 수 있다. utils/web.py web/manager.py 2. Installation Django와 MongoDB를 설치해야한다.$ sudo apt-get install mong..
학습 데이터를 이용한 기계 학습과 파라미터 조정은 앞서 언급한 내용대로 어떤 데이터 셋을 가지고 학습을 진행했는가에 따라 파라미터의 값이 바뀌게 된다. 수학적으로 접근하면 학습 데이터에 의해 수식이라는 표현 형식으로 나타내어 프로그램을 운영하게 된다. 대용량의 데이터를 데이터 마이닝을 작업하는데있어 파라미터 조정에 의거한 기계 학습을 진행하는 것은 데이터의 전체적인 추이, 경향 등을 추출하기 위함으로써 통계적인 기법에 의거한다. 통계학에서 학습 데이터가 수치로 주어졌을 때 그 수치를 설명할 수 있는 수식을 "회귀 분석"이라 한다. 회귀 분석의 대표적인 방법으로는 "최소제곱법(Least Squares Method)"가 있다. 1차 방정식으로 표현된 최소제곱법 2차 방정식으로 표현된 최소제곱법 붉은 점은 데..
