새소식

반응형

인기 검색어

IT/보안

악성코드 반자동화 분석도구

  • -
반응형

악성코드 반자동화 분석도구 

: 자동화된 도구를 사용하여 초기 분석을 수행하고, 분석가가 추가적으로 세부 사항을 수동으로 조사하여 정확성을 높이는 방법임.

 

Cukoo Sandbox : 

 

Cuckoo Sandbox는 오픈 소스 자동화 악성 코드 분석 도구로, 악성 코드 샘플을 실행하고 그 행위를 분석하는 데 사용됩니다. 주로 보안 연구자, 포렌식 분석가, 보안 운영팀 등이 악성 코드를 분석하고 이해하는 데 도움을 주는 도구입니다.

Cuckoo Sandbox의 주요 특징과 기능은 다음과 같습니다:

  1. 다양한 샘플 실행 환경: Cuckoo는 가상화 환경을 사용하여 악성 코드 샘플을 실행합니다. 이를 통해 안전하게 악성 코드를 분석하고, 실행 중에 시스템에 발생할 수 있는 피해를 방지할 수 있습니다.
  2. 네트워크 환경 분석: Cuckoo는 실행 중인 악성 코드가 네트워크 통신을 수행하는 동안의 활동을 모니터링하고 분석할 수 있습니다. 이를 통해 악성 코드가 시도하는 네트워크 연결, 통신 패턴 등을 파악할 수 있습니다.
  3. 행위 기반 분석: Cuckoo는 실행 중인 악성 코드의 행위를 기록하고 분석합니다. 파일 생성, 레지스트리 수정, 프로세스 실행 등의 활동을 모니터링하여 악성 행위를 식별합니다.
  4. 리포트 생성 및 분석 결과 공유: Cuckoo는 분석 결과를 자세히 기록한 리포트를 생성합니다. 이 리포트에는 실행 환경 정보, 악성 행위 기록, 네트워크 통신 패턴 등이 포함되어 있어, 분석자가 쉽게 이해하고 추가 조치를 취할 수 있습니다. 또한 이러한 분석 결과를 공유하고 커뮤니티와 협업할 수 있는 기능도 제공됩니다.
  5. 확장성과 커스터마이징: Cuckoo는 다양한 플러그인과 확장 기능을 제공하여 사용자가 필요에 따라 도구를 커스터마이징할 수 있습니다. 이를 통해 추가적인 분석 기능을 구현하거나 자신의 환경에 맞게 도구를 확장할 수 있습니다.

Cuckoo Sandbox는 자동화된 방식으로 악성 코드 분석을 수행하여 보다 효율적이고 정확한 결과를 제공하는 도구로, 현대적인 보안 연구 및 사이버 보안 분야에서 중요한 역할을 하고 있습니다.

 

참고 사이트 : https://www.igloo.co.kr/security-information/cuckoo-sandbox-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8-malconfscan-%EC%82%AC%EC%9A%A9%EC%9D%84-%ED%86%B5%ED%95%9C-%EB%B6%84%EC%84%9D-%EA%B3%A0%EB%8F%84%ED%99%94/

 

 

Any.run : 

 

any.run은 클라우드 기반의 인터랙티브한 악성 코드 분석 플랫폼입니다. 이 도구는 사용자가 악성 파일을 업로드하거나 URL을 제출하여 그에 대한 동적 분석을 수행할 수 있도록 설계되었습니다. 보안 연구자, 포렌식 분석가, 보안 운영팀 등이 악성 코드를 분석하고 이해하는 데 도움을 주는 강력한 도구입니다.

any.run의 주요 특징과 기능은 다음과 같습니다:

  1. 인터랙티브한 분석 환경: any.run은 사용자가 악성 파일이나 URL을 제출하면 해당 파일이나 웹사이트를 실제 환경에서 실행하고 그 결과를 실시간으로 제공합니다. 이를 통해 파일이나 URL이 실행될 때의 행위를 정확하게 모니터링하고 분석할 수 있습니다.
  2. 다양한 분석 기능: any.run은 실행 중인 프로세스, 파일 시스템 변경, 레지스트리 수정, 네트워크 통신 패턴 등 다양한 악성 행위를 분석합니다. 이러한 정보는 사용자가 쉽게 확인하고 이해할 수 있도록 시각적으로 제공됩니다.
  3. 포렌식 리포트 생성: 분석이 완료되면 any.run은 자동으로 상세한 분석 리포트를 생성합니다. 이 리포트에는 실행 환경 정보, 악성 행위 기록, 트리거된 이벤트 등이 포함되어 있어, 분석자가 신속하게 문제를 식별하고 대응할 수 있습니다.
  4. 사용자 친화적 인터페이스: any.run은 직관적이고 사용하기 쉬운 사용자 인터페이스를 제공합니다. 분석 결과를 시각적으로 표시하며, 다양한 필터링 및 검색 기능을 제공하여 사용자가 원하는 정보에 빠르게 접근할 수 있도록 도와줍니다.
  5. 협업 기능: 사용자는 분석 결과를 다른 보안 전문가나 팀원과 공유하고 협업할 수 있습니다. 이를 통해 보다 효율적인 분석과 사이버 공격 대응을 지원합니다.

any.run은 효율적이고 신속한 악성 코드 분석을 위한 강력한 도구로서, 보안 커뮤니티에서 널리 사용되고 있습니다.

 

참고사이트 : https://malwareanalysis.tistory.com/73

 

  • 디스어셈블러(예: IDA Pro, Ghidra)를 사용하여 자동화 도구가 식별한 의심스러운 코드나 행동을 중심으로 코드의 특정 부분을 수동으로 분석함.

 

반응형
저작자표시 비영리 변경금지 (새창열림)

'IT > 보안' 카테고리의 다른 글

SQL injection의 예방 prepared Statement  (0) 2024.07.08
RDI, RSI, RDX  (0) 2024.07.08
칼리리눅스 도커 컨테이너에 보안취약 서비스 설치  (1) 2023.05.12
도커 기본명령어 모음  (0) 2023.05.12
칼리리눅스에 도커 컨테이너 환경 구축 해보기  (1) 2023.05.12
Contents

당신이 좋아할만한 콘텐츠

댓글 0

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.

SHARE

DARK

MENU

티스토리툴바