[Tools/Linux] - 바이퍼(Viper) #01 - 개요 및 설치 1. 바이퍼 프로젝트 바이퍼는 하나의 악성코드 컬렉션을 하나의 프로젝트로 나타낸다. 바이퍼의 간단한 명령으로 쉽게 다른 프로젝트로 전환할 수 있으며, 원하는 만큼 프로젝트를 구성할 수 있다. 바이너리 파일은 설정한 로컬 저장소에 보관되며, 각각의 메타 데이터는 SQLite3 데이터베이스를 이용한다. 이렇게 구성한 프로젝트는 쉽게 공유를 할 수 있는 장점을 가지고 있다. 2. 바이퍼 실행 정상적으로 설치가 완료되었다면, viper.py를 실행하면, 다음과 같은 화면을 볼 수 있다. 바이퍼 커맨드 인터페이스로 이곳에서 명령을 통해 악성코드를 분류하고 관리하게 된다. 3. 바이퍼 도움말 바이퍼를 실행할 때 사용하는 도움말은 단순히 두 가..
1. 바이퍼(Viper) 바이퍼(Viper)는 독사를 의미하는 단어로, 이 문서에서 테스트할 도구 이름이다. 파이썬으로 제작되어 있고, 비단뱀 이름인 파이썬과 바이퍼는 매우 잘 어울리는 이름 같다. 바이퍼 홈페이지 문서 서두에서는 이 도구를 이렇게 설명하고 있다. 바이퍼는 바이너리 분석과 관리할 수 있는 프레임워크이다. 이 도구의 근본적인 목적은 시간이 지남에 따라 매일 하는 연구를 쉽게하게 하기 위해 악성코드와 공격 샘플을 수집하는 것 뿐만 아니라 만들거나 발견한 스크립트까지 수집하여 간단하게 구성 하여 해결책을 제공한다. 악성코드 연구가들을 위한 메타스플로잇(Metasploit)으로 생각한다. 이 도구는 임의의 파일을 분석하고 검색하는 것과 함께 저장하는데 사용 할 수 있는 터미널 인터페이스를 제공하..
1. Introduction 이번에 소개할 Cuckoo Sandbox의 기능은 볼라티리티(Volatility)이다. 볼라티리티는 파이썬으로 제작된 메모리 분석 프레임워크로 다양한 기능을 구현한 플러그인이 있으며, 사용자가 필요한 기능이 있으면 해당 기능에 대한 플러그인을 제작하여 사용할 수 있다. 볼라티리티에 관한 문서는 많으며, 이 주제에 대한 책도 많은 소개가 되어 있다. 국내에서는 포렌식 관점에서 작성된 도서들에서 이 도구에 대해 다루고 있다. Cuckoo Sandbox와 볼라티리티는 둘다 파이썬으로 제작되어서 쉽게 접합하여 사용한 것으로 파악된다. 볼라티리티의 기능을 구현시킨것은 Cuckoo 버전 1.0 부터이며, Cuckoo가 볼라티리티에 대한 언급은 0.4.1 버전부터 (문서 참조) 시작했다...
1. Introduction malcontrol은 악성코드 분석 웹 사이트로부터 오픈 데이터를 받아 관제하는 "Malware Control Monitor"라 불리는 프로젝트이다. 오픈 데이터 리스트는 다음 웹 사이트에서 받아온다. malwrphishtankurlqueryvirscanwebinspectordomainlistmalc0de 이 도구는 Node.js로 운영되고 mongodb를 사용하며, 설치는 npm으로 한다. npm은 Node Packaged Modules의 약자로 Node.js에서 사용되는 모듈을 패키지 형태로 모아놓은 도구이다. 2. Environment OS : Ubuntu 12.04 LTS 64bit on VirtualboxCPU : 4개MEM : 2048MBNode.js : v0.10..
1. Introduction 이번에 소개할 내용은 Cuckoo Sandbox의 api.py를 이용한 api기능 사용 방법이다. Cuckoo 1.0에서 제공하는 api.py는 REST API로 curl로 요청을 보내고 curl로 데이터를 받아 올 수 있다. REST API의 상세한 내용은 위키피디아에서 볼 수 있으며, Cuckoo가 agent 와의 통신에 사용하는 XML-RPC 프로토콜도 REST API로 분류할 수 있다. REST API를 통하면, 어떤 언어를 사용하는 시스템이든 결과값을 데이터베이스화 하여 출력할 수 있다는 장점이 있어 Cuckoo를 손 쉽게 기능화 할 수 있다. api.py를 사용하여 REST API를 이용하는 부분은 Cuckoo Documentation에 충분히 소개되어 있다. 이 ..
1. Intoruduction HPFClient는 Honeynet Project Feeds Client의 약자로 Honeynet Project 도구들에 의해 발생하는 로그들을 통합 관리 하는 Honeynet의 또 다른 프로젝트이다. 2013년에 열린 SIGINT13에서 Honeynet Project Friends 라는 이름으로 리네임하고 Real-Time Social Data-Sharing 컨셉아래 새롭게 발표했다. 영상1. SIGINT13에서 hpfriends 발표 Real-Time Social Data-Sharing 컨셉은 각각의 사용자들이 주변의 사용자들과 함께 채널을 공유할 수 있다. 또한, 채널에 따라 접근 권한을 가지며 복수개의 채널에 가입할 수 있기 때문에 보다 자연스럽게 소셜기능을 이용할 ..
1. Introduction 메타데이터(Metadata) 는 "데이터의 데이터"로 특정 데이터를 구조화된 데이터로 표현하여 추가적인 활용을 할 수 있도록 하는 것을 말한다. Cuckoo 0.3.2 버전부터 메타데이터를 사용하기 시작했으며, Cuckoo 1.0 에서는 메타데이터를 MMDef로 리네임하여 모듈을 제공하고 있다. MMDef는 Malware MetaData Exchange Format의 약자이다. 2. Installation Cuckoo 1.0이 제대로 설치되어 운영이 된다면 추가적으로 설치할 부분은 없다. 3. Configuration MMDef 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf에서 설정할 수 있다. [mmdef]enabled = yes 4. Startin..
1. Introduction 미국 MITRE社의 프로젝트 중 MAEC(Malware Attribute Enumeration and Characterization)는 단순하게 표현하면 "악성코드 분석 결과에 대한 표준 언어" 라고 볼 수 있다. maec.mitre.org 에서 소개한 내용은 다음과 같다. MAEC는 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화 된 언어이다. MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확성을 제거하여, 시그니처에 대한 ..