본문 바로가기

Information Security/OpenSource53

vt-tool - Find the name of the evil 1. 개요 부제인 "Find the name of the evil"에서 볼 수 있듯이 악성코드 이름을 토대로 통계를 내는데 사용하는 도구이다. 2. 설치 설치는 도구 가이드에서 제공하는 라이브러리와 패키지를 설치한다. sudo apt-get -y install python-numpy python-scipy python-levenshtein python-pip numpy : 통계학에 주로 사용되는 파이썬 라이브러리scipy : 이 라이브러리는 수학, 과학, 엔지니어링 분야에서 사용하는 라이브러리이자 생태계를 총칭levenshtein : 문자열에서 문자간 거리, 유사도 등을 측정하기 위해 사용하는 라이브러리pip : 파이썬 전용 라이브러리 저장소를 이용하기 위한 패키지 추가로 설치하는 파이썬 라이브러리들이다.. 2015. 1. 18.
CapTipper - Malicious HTTP traffic explorer tool 1. 개요 이미 오래전 부터 악성코드 유포는 웹을 통해 이뤄져왔다. 특히나 드라이브-바이 다운로드 공격 방법은 유포의 프로세스를 크게 확장하게 되었다. 이번에 소개할 도구는 악성코드 유포가 포함된 pcap 파일을 파싱하여 분석하는 도구이다. 특히 기능이 드라이브-바이 다운로드에 맞춰져 기능들이 구현되고 있는 것으로 판단하고 있다. 이 도구는 별도의 라이브러리를 설치할 필요가 없다. 이는 좀 더 세부적으로 구현한 부분이 없다고 판단할 수 있다. 그래서 아쉽게도 자바스크립트 난독화에 대한 대응이 이루어져 있지 않으며, 다양한 취약점을 유발시키는 파일들에 대한 상세 분석도 진행하지 않는다. 2. 설치 및 구동 CapTipper는 별도의 라이브러리를 설치 할 필요가 없이 github 를 통해 다운로드 받으면 된.. 2015. 1. 16.
바이퍼(Viper) #04 - 스토어(Store) 명령 [Tools/Linux] - 바이퍼(Viper) #01 - 개요 및 설치 [Tools/Linux] - 바이퍼(Viper) #02 - 프로젝트(Project) [Tools/Linux] - 바이퍼(Viper) #03 - 샘플파일 수집 1. 스토어 (Store) 스토어 명령은 외부에 있는 저장소에서 파일이나 압축 파일(ZIP)을 바이퍼 저장소에 저장하는 역할을 하는 명령어이다. "바이퍼(Viper) #03 - 샘플파일"에서 다운로드 받은 악성코드를 저장한다. 저장하기 전에 해야할 것은 프로젝트를 선택한다. 도움말을 살펴보면 -d 원본 파일 삭제, -f 폴더 선택, -s 파일사이즈 선별, -y 파일 포맷 설정, -n 파일 이름, -t 태그 입력 기능을 가진다. 다만, -s 파일사이즈 선별 기능은 제대로 동작하지.. 2015. 1. 12.
바이퍼(Viper) #03 - 샘플파일 수집 [Tools/Linux] - 바이퍼(Viper) #01 - 개요 및 설치 [Tools/Linux] - 바이퍼(Viper) #02 - 프로젝트(Project) 1. 샘플파일 수집 본 문서에서는 바이퍼 디렉터리 안에 malware 이름으로 별도의 디렉터리를 만들어 악성코드들을 저장했으며, 악성코드는 TEKDEFENSE 에서 공개한 샘플들을 이용하였다. 샘플을 다운로드 받는 과정은 귀찮은 작업이 될 수 있다. 그래서 다음 파이썬 소스코드를 이용하면 샘플을 자동으로 다운받을 수 있다. 다운받는 샘플은 확장자가 .zip 으로 끝나는 샘플들을 다운로드 받으며, 사전에 테스트해본 결과 .zip 파일에 압축되어 있는 파일들은 대부분 윈도우 실행 파일 구조를 가지고 있는 악성코드들이다. # -*- coding: utf-.. 2015. 1. 9.