예전 용기님 블러그를 보고 알았던 Fussy Hash
뭐...어제부로 P/T도 끝나고...컴퓨터 정리및 자료들 정리하다가 문득 이런 생각이 들었다
요즘 많이 발생하는 DoS성격의 악성코드들
이런 놈들 분석을 하다보면 랜덤한 파일명과 여기저기 산재한 위치때문에 시스템에서 말끔(?)하게 정리하기도 애매하고...한번에 확~ 잡아버리는 방법은 없을까?
뭐...여기서 언급하고 있는 Fussy Hash를 이용하면 얼추 잔당들을 처리할 수 있지않을까 하는 생각이..
시나리오 1.
침해당한것으로 추정되는 시스템에서 불특정 다수, 또는 한곳의 D.IP로 패킷이 쏟아지고 있다
아무래도 이 시스템에서 뭔가 악성코드들이 외부로 패킷을 날리는것 같다
일단 이 패킷이 데이터를 포함하고 있는, 데이터 유출형일까도 생각했지만, 데이터 유출로 발생되는 패킷이라 하기에는 너무 다량의 패킷이 발생되고 있다
아마 특정 목적지, 또는 해당 시스템을 포함하고 있는 네트워크의 서비스를 마비 시키기 위한 패킷전송은 아닐련지
해당 시스템을 분석해보니 일단 숙주로 생각되는 몇몇의 파일을 발견했다
악성코드 감염경로는 차후 분석하기로 하고..
일단 이 악성코드들을 처리해서 패킷발생을 줄여야한다
Process Explorer와 C.Port로 현재 패킷을 발생시키는 프로세스를 찾아내어 처리한다
차후 분석을 위해 삭제하지는 않고 별도의 디스켓에 저장해놓은 상태이다
잠시후 패킷이 다시 발생한다
역시 동일한 방법으로 해당 파일을 찾아낸다
이런 작업이 계속 반복된다
3차례정도 반복되니 뭔가 이상한 느낌이 든다
아무래도 이 악성코드를 배포한 자는 시스템 관리자가 악성코드의 활동을 방해할 것을 대비하여 스스로 복제 및 은닉하도록 설계한 모양이다
물론 바보가 아닌이상 시스템 관리자가 쉽게 처리하지 못하도록 OS 운영체제 관련 폴더에 랜덤한 이름으로 생성을 하겠지
일단 FUssy Hash를 이용해서 먼저 채증한 악성코드의 Hash값을 추출한다
해당 해쉬값을 얻어낸 뒤 m옵션을 추고 전체 디렉토리에 대한 대조작업을 시작한다
-m hash.txt /*.*
아마 복제 및 은닉과정중에 원본과 다른 Hash값을 갖게 되기때문에 100% 일치하지는 않겠지만...
Fussy Hash를 이용하여 일치도 확인도 가능하기때문에 대략 80~100% 사이의 파일들을 찾아내어 이 파일들에 대한 분석만 하게 되면, 일일이 파일을 대조하거나, 사건이 발생되길 기다렸다가 처리하는 수고는 덜 수 있을 것이다
쓰고보니 넘 장황하고....그다지 일어날것 같지 않은 시나리오다!!!
암튼...Fussy Hash를 잘 사용하면 여러모로 유용할 것 같다
단점!!
한글이 지원되지 않으므로 파일명이나 디렉토리 명에 한글이 들어가 있으면 깨진다
적절히 알아서 사용하면, 사용하는데 큰 지장은 없으므로 패스~
ssdeep-2.2.rar
댓글 없음:
댓글 쓰기