PE-Analysis-v1.0.pdf

첫 안드로이드 악성코드 분석

배우지도 않은 자바를 배우게되네

http://www.popstar1.com으로 유포되는 042.apk에 관한 분석 보고서입니다.

042apk_Report.pdf

Win-Trojan/Scar.109568.U 분석

5d25e3f2a9dfb7a032089cf1dfccfa8f분석.pdf

Win32/Aimbot.worm.15872 분석

(일명 2090바이러스)

2090분석.pdf

출처 - 아이월드 네트워킹 기술지원팀(coffeenix.net/doc/network/SMB_ICMP_UDP(huichang).pdf)

NetBIOS 네임 서버 프로토콜(NBNS 프로토콜)은 NBT(NetBIOS over TCP/IP)계열의 일부로 윈도우 시스템에서는 WINS(Windows Internet Name Service)로 구현되어 있습니다. 설계상으로는 NBNS는 네트워크에 연결된 다른 컴퓨터들 상호간의 이름이 충돌되지 않도록 도와 주는 역할을 하게 됩니다. 

또한, 이 프로토콜은 네트워크 인증을 받지 않도록 설계되어 있기 때문에 스푸핑(spoofing)에 노출되어 있습니다. 따라서 악의적인 사용자가 이름 충돌(Name Conflict)이나 이름 해제(Name Release) 메커니즘을 엉뚱하게 사용하게 되면 네트워크상에서 존재하는 다른 컴퓨터는 현재 등록된 이름이 다른 컴퓨터와 충돌을 야기하는 것처럼 보이는 결과를 가져올 수 있습니다. 이러한 시나리오에 따라 해당 컴퓨터는 현재 사용하고 있는 이름을 네트워크에 등록하지 못하거나 등록된 이름을 사용하지 못하게 됩니다. 두 가지 경우 모두 같은 해당 컴퓨터가 이름 충돌과 관계된 메시지에 대해서 응답하지 않는 결과를 초래합니다.

일반적인 보안 기법으로 UDP 137번 포트를 방화벽에서 막아 버리면 외부에서 공격하는 것은 불가능해집니다. 또한 이 문제에 대해 제공되는 패치는 시스템 관리자들이 네트워크 유지에 추가적인 유연성을 확보하는 방향으로 윈도우 시스템의 동작 방법을 변경하였습니다. 

패치는 관리자들이 컴퓨터의 이름 충돌과 관계된 데이터그램을 오로지 이름 등록을 시도하는 경우에만 받을 수 있도록 설정할 수 있도록 하였으며, 또한 모든 이름 해제 데이터그램을 받지 못하도록 설정할 수 있습니다. 그러나, 이것은 스푸핑을 완전히 제거하는 것은 아니며 단지 가능성을 낮추는 것 뿐입니다. 추가적인 보안 설정을 고려하고 계신 고객들은 137-139번 포트의 모든 세션을 확인하기 위하여 Windows 2000의 IPSec를 사용하는 것을 고려해 보시기 바랍니다

http://www.microsoft.com/korea/technet/security/bulletin/ms00-047.mspx

출처 : MS Technet

아래는 wireshark wiki에서 발췌한 NBNS에 대한 정의.

This service is often called WINS on Windows systems.

The NetBIOS Name Service is part of the NetBIOS-over-TCP protocol suite, see the NetBIOS page for further information.

NBNS serves much the same purpose as DNS does: translate human-readable names to IP addresses (e.g. www.wireshark.org to 65.208.228.223). (As NetBIOS can run on top of several different network protocols (e.g. IP, IPX, ...), other implementations of the NetBIOS services have their own mechanisms for translating NetBIOS names to addresses.) NBNS's services are more limited, in that NetBIOS names exist in a flat name space, rather than DNS's hierarchical one (multiple flat name spaces can exist, by using NetBIOS scopes, but those are rarely used), and NBNS can only supply IPv4 addresses; NBNS doesn't support IPv6.

With the advent of SMB-over-TCP, it is no longer necessary to have a machine's NetBIOS name in order for that machine to make connections to SMB servers or in order for SMB connections to be made to that machine, and with the advent of "dynamic DNS", a host can register its name and its IP address or addresses with a DNS server when it boots (note that its IP address might not be static - it might be granted by a DHCP server - so you can't necessarily statically register a machine's host name and IP address with a DNS server). 

Therefore, newer Windows systems, starting with Windows 2000, can use DNS for all the purposes for which NBNS was used. NBNS is still widely used especially on Windows networks, as there might still be older versions of Windows on those networks, or it might not yet have been converted to use only DNS.

WINS (Windows Internet Name Service) uses the same protocol, but unicast messages to a WINS-Server, multiple WINS servers can replicate the content with the WINS-Replication protocol.

아래는 유효한 NBNS 필터

윈도우 메모리

파일로서의 메모리

파일로서의 메모리는 동적으로 존재하는 메모리와는 달리, 그 내용이 변하지 않으며 메모리 관련 API가 아닌 파일 시스템 API를 통해 접근을 할 수 있다.

시스템 메모리

시스템 메모리는 보통 물리적 메모리를 의미한다. 1차 저장장치인 RAM과 여기에 추가적으로 하드 드라이브가 보조 장치로써 2차 저장장치가 될 수 있다.

그런데 이러한 물리 메모리가 아닌 가상 메모리라는 것도 존재다. 가상 메모리란 멀티태스킹 능력을 확장시키기 위해 페이징 기법을 사용하는 기술로써, 루트 폴더의 PageFile.sys 파일에 기록한다.

또한 여기서 간단히 짚고 넘어가야 할 문제가 있다. 물리적 메모리의 정의가 철저해져야 할 필요가 있다는 것이다.

물리 메모리(시스템 메모리)는 RAM만을 뜻하는 것이 아닌 RAM과 Page File 두 가지를 의미하는 것이다. 

하지만, 그렇다고 해서 메모리 덤프 시에 RAM과 Page File 두 가지가 모두 덤핑이 되는 것은 아니다. 이 경우, RAM만이 덤프가 된다.

또한, 프로세스 덤프를 하게 되면 가상 메모리에 대한 덤프가 되기 때문에 RAM과 Page File 모두 사용하는 가상 메모리로썬 모두 덤프할 수 밖에 없다.

가상 메모리

일반적인 물리 형태의 메모리가 아닌 논리 형태의 메모리이다.

가상 메모리의 데이터 저장 형태는 RAM이나 Page File 같은 물리적 메모리 또는 하드 드라이브에 저장되며, 할당되는 주소도 물리 메모리와는 달리 VAS(Virtual Adress Space)라는 주소 공간을 따로 할당 받게 된다.

또한 32비트 기준으로, 윈도우의 모든 프로세스는 개별적으로 4GB의 가상 메모리를 할당받는다. 

어디까지나 ‘가상’ 메모리라서 가능한 점이다. 또한, 가상 메모리는 물리 메모리 뿐만 아니라 하드 드라이브(Page File)도 주소 공간으로 사용한다.

가상 메모리의 특징을 몇 가지 간추려 보자면 다음 표와 같다.

가상 메모리의 구조

32비트 기준으로 가상 메모리의 구조는 위의 그림과 같다. 

실제 하나의 사용자 프로세스가 사용할 수 있는 영역은 사용자 영역 2GB로 제한되어 있으며, 이는 사용자 모드로 동작하기 때문에 커널 영역에 진입할 수 없다. 

커널 영역은 오직 커널 모드로 동작하는 프로세스만 진입 가능하다.

또한 사용자 영역은 boot.ini에서 ‘/3GB’ 옵션을 붙여 재부팅하게 되면 사용자 영역을 3GB로 증설하고, 커널 영역을 1GB로 축소 시킬 수 있는데, 이러한 경우 한 번에 실행할 수 있는 프로세스의 개수가 줄어들게 된다.

그리고 커널 영역은 모든 프로세스에게 공통적인 영역이라서 다른 프로세스의 다른 커널영역이라도 두 커널 내의 오브젝트가 가지고 있는 Virtual Address는 동일하다.

커널 영역은 시스템 운영에 사용되기 때문에 Page File보다는 RAM에 저장되며, 가상 주소에 매핑된다.

사용자 영역은 당장 필요 없다고 판단되는 데이터는 Page File로 이동 시키고, 프로세스가 요청할 경우 RAM으로 올린다.

그렇기 때문에 온전한 사용자 데이터를 얻기 위해서는 RAM+Page File을 추출해야만 얻을 수 있다.

가상 메모리 주소와 물리 메모리 주소 간의 주소 변환

모든 프로세스의 가상 메모리는 가상 주소와 실제 주소가 다르기 때문에 매핑을 시켜주어야 한다. 이는 MMU(Memory Management Unit)에 의해 이루어지며, 반드시 필요한 작업이다.

가령 위와 같이 서로 다른 프로세스가 같은 가상 주소에 다른 데이터를 저장하였더라도, 매핑되어있는 물리 주소가 다르기 때문에 실제론 다른 공간에 저장된다.

그렇다면 어떻게 매핑 정보를 알 수 있는 것일까?

가상 메모리의 주소는 32비트 시스템에서는 32비트의 길이를 갖는다.

이 가상 메모리의 주소가 물리 메모리의 주소로 변환될 땐 Page Directory라는 테이블과 Page Table이라는 테이블, 그리고 하나의

가상 주소를 이용한 물리 주소 찾기

- 메모리는 페이지(Page)라는 단위로 불리는 일정 크기의 물리적 단위를 사용하여 물리 메모리를 관리하는데 가상 주소와 물리 주소의 매핑 또한 이 페이지를 기준으로 이루어진다.

각각의 페이지는 첫 번째 페이지부터 0번 순서가 매겨지며, 이 번호를 페이지 프레임 넘버(Page Frame Number)라고 한다. 가상 주소의 구조는 다음과 같다.

위와 같은 정보를 이용하여 가상 주소를 토대로 물리 주소를 찾을 수 있다.

방법은 다음과 같다.

 위의 순서를 그림대로 표현하자면 다음과 같다.

크래시 덤프

시스템을 유지에 치명적인 영향을 주는 문제가 발생하였을 때 문제의 원인을 찾기 위해서 윈도우 스스로가 만드는 메모리 덤프를 말한다.

흔하게는 일명 BSoD(Blue Screen of Death)가 발생하였을 때 생성되는 크래시 덤프가 있다. BSoD가 발생하였을 때 생성되는 크래시 덤프는 시스템과 RAM의 내용이 정지된 상태로 쓰여 지기 때문에 순수하고 정확한 메모리 덤프라고 할 수 있다.

이러한 메모리 덤프 방법은 매우 유용할 수도 있다. 하지만, 몇 가지의 걸림돌이 존재한다.

우선, 기본적으로 사용자가 임의로 크래시 덤프를 생성할 수 없게 설정되어 있기 때문에 기본적인 환경으론 상당히 까다롭다

(어디까지나 Default 이므로 설정을 변경하면 되지만, 변경하면 재부팅을 해야 적용이 되기 때문에 결국 메모리 덤프로써의 의미가 없다).

두 번째로,  조사 대상의 시스템에 대한 영향을 최소화 하지 않기 때문에 크래시 덤프 파일을 저장함으로써, 대상 하드 드라이브의 잠재된 증거들을 덮어 써 버릴 가능성이 크다. 

크래시 덤프의 종류

크래시 덤프 환경 설정은 시스템>고급>시작 및 복구>설정 탭을 통해 접근할 수 있으며, 

환경 설정을 통해 어떤 덤프를 쓸 것인지, 또 어떤 경로에 저장할 것인지 등의 설정을 할 수 있다.

하이버네이션 파일

Hibernation 기능이란, 전력 관리를 보다 효율적으로 하기 위해 절전 상태에 돌입하게 되면, 하드 드라이브에 메모리 데이터를 기록한 다음 전력을 차단해버는 기능을 말한다.

하지만 이는, 기존 전력 관리 방식(RAM에 대한 지속적인 전력 공급)에 비해 Wakeup 시 복구 시간이 비교적 오래 걸린다. 

하지만, 전력 공급 면에선 괜찮은 기능이니 랩탑에겐 필수적인 기능이라 생각한다.

Windows 7의 경우 커맨드 프롬프트를 통해 Hibernation 설정을 할 수 있다.

powercfg -hibernate on/off 또는 powercfg -h on/off 명령으로 Hibernation 기능을 켜고, 끌 수 있다.

하이버네이션으로 인한 메모리 덤프 파일은 Full Mem Dmp가 아니며, 절전된 즉시 만들어 지기 때문에 복구가 되고 나면 그 상황 당시의 메모리 덤프가 아닌 이전의 메모리 덤프 파일이기 때문에 상황에 따라 쓸모가 없어질 수가 있다. 또한, 메인보드의 칩셋과 OS에 따라 지원 여부가 달라진다.

프로세스와 커널 오브젝트

커널 오브젝트는 메모리 분석의 핵심이다. 이는 간단히 말해, 윈도우가 사용 가능한 모든 리소스를 종류 별로 나눠서, 그 구조를 일반화 시킨 것이 커널 오브젝트라고 한다.

커널 오브젝트는 히든 프로세스나 네트워크 세션로 예를 들 수 있으며, 버전 마다 동일한 구조 규칙을 띄고 있어서 숨겨진 오브젝트 또한 찾아내기 쉽다.

프로그램, 프로세스, 스레드

메모리 덤프 만들기

소프트웨어적인 메모리 덤프 방법과, 하드웨어적인 메모리 덤프 방법을 알아보도록 하자.

각자의 방법 또한 장단점이 존재하며, 소프트웨어 메모리 덤프 방법은 도구에 따라서 또 장단점이 나뉘게 되니 메모리 덤프 방법 및 도구 선택은 매우 신중해져야한다.

하드웨어를 이용한 메모리 덤프

하드웨어를 이용한 메모리 덤프는 다음과 같은 특징을 지니고 있다.

메모리 덤프 하드웨어 장치는 다음과 같이 나뉜다.

하드웨어를 메모리 덤프에 대한 장 단점은 아래의 표를 확인하고, 소프트웨어 메모리 덤프로 넘어가 보겠다.

소프트웨어를 이용한 메모리 덤프

이번에는 먼저 소프트웨어를 이용한 경우 어떤 장점지 있고, 어떤 단점이 있는지 살펴보자.

[Figure 1 - WinDD Memory Dumping]

WinDD에 대해 더 상세히 알고싶다면, 여기를 누르면 된다.

메모리 덤프 프로그램은 이 외에도 Fastdump, ProDiscover가 있다. 각각 CLI, GUI 환경에서 동작하며 자세한 사용 방법은 본인들이 각자 터득해보길 바란다.