[펌]악성코드 분석에 도움이 될만한 사이트 정리

악성코드 분석에 도움이 될만한 사이트 정리 1. 자주 쓰이는 악성코드 분석툴 2. 온라인 바이러스 스캐너 및 분석도구 3. 악성코드 유포 주소 확인 및 샘플 공유사이트 4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들 5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트 6. 문서파일관련 악성코드 분석자료 7. 그외 공개되어 있는 악성코드 분석 도구들 8. 모바일 기반 악성코드 분석 9. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트 10. 기타 참고자료

1. 자주 쓰이는 악성코드 분석툴

동적분석 도구 - 실시간 프로세스 모니터링 (Process Explorer, Process Monitor) - 실시간 메모리 분석 (vmmap) - 윈도우 시작 프로그램 분석(Autoruns) - 실시간 레지스트리 생성 및 수정 정보 분석 (regmon) - 실시간 네트워크 연결 분석(Cport) - 실시간 네트워크 트래픽 및 패킷 분석(WireShark, Smsniff) - 강력한 루트킷 탐지 도구(Gmer) - 그외 : http://technet.microsoft.com/en-us/sysinternals/bb545027.aspx 정적분석 도구 - 대표적인 바이너리 디버깅 프로그램(OllyDbg, Immunity Debugger) - 메모리 덤프 분석 도구(WinDbg) - 파일내 헥사값을 분석하기 위한 에디터(HxD, WinHex) - 헥사 비교 에디터 (Beyond Compare, HexCmp) - 패킹 여부 확인 및 해제 도구 (UPX, PEID) - 파일내 스트링 검색도구 (BinText) - PE 포멧 및 구조 분석 도구 (PEview) - 최고의 디스어셈블러, 악성코드를 정밀 분석하기 위한 프로그램 (IDA Pro) - 자바 소스를 출력하기 위한 디컴파일 도구 (JD-gui) 그외 추가적인 자료 - PE구조 분석 (PE101) - 해쉬값 체크 도구 (HashTab) - 악의적인 행위를 추적하기 위한 도구(Regshot, Winalysis, SystemSherlock)

2. 온라인 바이러스 스캐너 및 분석도구

(주요 사이트) https://www.virustotal.com/ http://virscan.org/ http://malwr.com/ http://www.threattrack.com/ http://www.threatexpert.com/submit.aspx http://virusscan.jotti.org/ https://mwanalysis.org/?site=1&page=submit http://anubis.iseclab.org/ http://wepawet.iseclab.org/ (기타) http://eureka.cyber-ta.org/ https://analysis.f-secure.com/portal/login.html https://www.microsoft.com/security/portal/submission/submit.aspx https://www.metascan-online.com/ https://asafaweb.com/ http://www.f-prot.com/virusinfo/submission_form.html http://eureka.cyber-ta.org/ http://camas.comodo.com/cgi-bin/submit http://www.xandora.net/upload/ http://viruschief.com/ http://vscan.novirusthanks.org/ http://onlinescan.avast.com/ http://netscty.com/Services/Sandbox http://ether.gtisc.gatech.edu/web_unpack/ http://www.suspectfile.com/ http://sarvam.ece.ucsb.edu/ http://enterprise.norman.com/analysis http://zulu.zscaler.com/ (그외 리스트 및 참고자료) http://www.malwarehelp.org/online_anti_malware_scanners_single_file.html http://www.coresec.org/2011/07/26/online-malware-analysis-scanners http://grandstreamdreams.blogspot.kr/2012/04/malware-analysis-resources.html

3. 악성코드 유포 주소 확인 및 샘플 공유사이트

실시간으로 악성코드가 심어져 있는 웹페이지나 서버의 리스트를 제공 http://www.malwaredomainlist.com/ 악성코드 분석을 위한 각종 샘플을제공하는 사이트 http://offensivecomputing.net/ 안드로이드 기반 악성코드 샘플 제공 http://rogunix.com/docs/Android/Malware/ 전세계에서 발생하는 실시간 악성코드 샘플들에 대하여 수집 http://malc0de.com/database/ 관리자에게 메일로 아이디를 발급받아 악성코드를 제공받을 수 있다. http://www.virussign.com/downloads.html 악성코드 유포, 피싱, 유해 사이트에 대한DB정보 제공 http://hosts-file.net/ 최신 안드로이드 기반 악성코드 샘플 제공 http://contagiominidump.blogspot.com.es/?m=1 안드로이드 기반 악성코드 샘플 및 관련 자료 제공 http://rogunix.com/docs/Android/Malware/

4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들

허니팟프로젝트를 통해 전세계에서 활동하는 웜을 포함한 각종 악성코드에 대한 실시간 정보 http://map.honeynet.org/ Akamai 에서24시간 인터넷 환경에 대한 모니터링을 통해 악성코드를 이용한 공격정보 모니터링 http://www.akamai.com/html/technology/dataviz1.html 카스퍼스키에서 24시간 수집하는 데이터를 바탕으로 원하는 기간에 따른 통계정보를 제공 http://www.securelist.com/en/statistics#/en/map/oas/month 트랜드마이크로에서C&C서버 및 봇넷의 활동을 실시간으로 분석 http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html Shadowserver 단체에서 수집한 보안장비를 바탕으로 DDoS 공격 및 봇넷의 활동을 실시간으로 분석함 http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps Arbor에서 전세계 ISP업체 및 글로벌 업체와 협력하여 봇에 관점에서 분석 정보를 제공 http://atlas.arbor.net/

5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트

악성코드를 분석하기위한 자동화된 우분투기반의 샌드박스 http://cert.at/downloads/software/minibis_en.html 악의적인 파일에 대해 스크린샷 및 기본적인 분석정보를 제공하는 샌드박스 http://www.cuckoosandbox.org/ 행위기반 분석도구 악성코드를 행위를 바탕으로 판별하기 위한 도구 http://zerowine.sourceforge.net/ 행위기반의 악성코드 분석도구 http://www.mlsec.org/malheur/docs.html 프로세스의 동작과 시스템에 대한 변경사항을 분석하기 위한 버스터 샌드박스 http://bsa.isoftware.nl/ 악의적인 파일에 대해 가상으로 프로그램을 설치하여 테스트할 수 있는 샌드박스 http://www.sandboxie.com/ 허니팟 프로젝트에서 제공하는 샌드박스 도구 https://www.honeynet.org/node/315 http://travisaltman.com/malware-analysis-tool-capture-bat/ (사용법) 온라인상에서 자바스크립트 PDF, HTML 파일들을 언패킹하여 분석하기 위한 사이트 http://jsunpack.jeek.org/

6. 문서파일관련 악성코드 분석자료

Office문서파일관련 악성코드 파일에 대한 분석자료 http://www.mitec.cz/ssv.html http://www.microsoft.com/en-us/download/details.aspx?id=2096 http://computer-forensics.sans.org/blog/2012/05/29/extract-flash-from-malicious-office-documentshttp://msdn.microsoft.com/en-us/library/cc313118.aspx http://hooked-on-mnemonics.blogspot.fr/2012/05/intro-to-malicious-document-analysis.html http://zeltser.com/reverse-malware/analyzing-malicious-documents.html http://blog.zeltser.com/post/23229415724/malicious-code-inside-office-documents PDF파일 분석 도구 http://www.malwaretracker.com/pdf.php http://sandsprite.com/blogs/index.php?uid=7&pid=57 http://blog.didierstevens.com/programs/pdf-tools/ http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis http://blog.zeltser.com/post/6780160077/peepdf-malicious-pdf-analysis http://eternal-todo.com/tools/peepdf-pdf-analysis-tool PDF파일 분석 참고자료 http://sketchymoose.blogspot.co.uk/2012/08/pdf-analysis-request.html http://resources.infosecinstitute.com/pdf-file-format-basic-structure/ http://blog.malwaretracker.com/ AdobeFlash/SWF 파일 분석 http://labs.adobe.com/technologies/swfinvestigator/ http://h30499.www3.hp.com/t5/Following-the-Wh1t3-Rabbit/SWFScan-FREE-Flash-decompiler/ba-p/5440167 http://betanews.com/2012/01/18/decompile-flash-files-with-hp-swfscan/ 파이썬 기반의 HWP문서 파싱 및 분석도구 https://github.com/mete0r/pyhwp

7. 그외 공개되어 있는 악성코드 분석 도구들

(그외 오픈소스 기반 동적분석도구) 파이썬기반의 웹사이트 악성코드 삽입 판별 및 취약점을 통한 공격여부를 판단하기 위한 도구 http://code.google.com/p/yara-project/ 봇넷 기반의 악성코드를 분석하기 위한 네트워크 시뮬레이션 도구 http://people.bu.edu/wangjing/open-source/imalse/html/index.html 호출되는 API 및 서비스들을 추적하고 모니터링할 수 있는 도구 http://www.rohitab.com/apimonitor 실행중인 응용프로그램을 확인할 수 있는 도구 http://securityxploded.com/show-windows.php 웹브라우저상의 취약점을 이용한 악의적인 행위를 방지하기 위한 도구 http://www.zerovulnerabilitylabs.com/home/exploitshield/browser-edition/ TCP/UDP 연결을 추적하고 분석하기 위한 툴 http://sourceforge.net/projects/io-footprint/ (그외 오픈소스 기반 정적분석도구) 파이썬기반의 악성코드 정적분석도구 http://code.google.com/p/pyew/ EXE파일을 정적분석할 수 있는 간단한 도구 https://code.google.com/p/peframe/ USB 악성코드 감염 여부 검사도구 http://blog.didierstevens.com/programs/usbvirusscan/ PE파일 디지털 서명 확인 도구 http://blog.didierstevens.com/programs/authenticode-tools/ Virustotal과 연동하여 악성코드로 의심되는 파일들을 자동으로 전송하고 분석하기 위한 도구 http://www.raymond.cc/blog/xray/ 바이러스 토탈 API를 이용하여 MD5해시정보를 이용한 악성코드 탐색 http://blog.didierstevens.com/2012/05/21/searching-with-virustotal/ nmap 스크립트를 이용하여 바이러스토탈의 파일 체크 http://nmap.org/nsedoc/scripts/http-virustotal.html

8. 모바일 기반 악성코드 분석

(안드로이드 기반 동적분석) http://code.google.com/p/droidbox/ http://www.webopedia.com/TERM/A/Android_SDK.html http://developer.android.com/sdk/index.html https://github.com/wuntee/androidAuditTools (안드로이드 기반 정적분석 도구) http://code.google.com/p/androguard/ http://www.mobile-sandbox.com https://www.hex-rays.com/products/ida/6.1/ http://www.varaneckas.com/jad http://code.google.com/p/smali/ http://code.google.com/p/apkinspector/ (모바일 기반의 악성코드 분석 참고자료) IOS, 안드로이드 기반의 역공학 및 악성코드 분석 도구 및 관련자료 제공 http://wiki.secmobi.com/ 모바일 운영체제 기반의 악성코드 대응기법 연구 http://www.kisa.or.kr/public/library/reportView.jsp?regno=017608 Mac OS 기반의 악성코드 관련 정리된 자료 http://xcoolcat7.tistory.com/843 SANS에서 제공하는 안드로이드기반의 악성코드 역공학 (회원가입 필요) http://www.itlkorea.kr/technote/view.html?No=769&start=0

9. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트

(악성코드 분석관련 강좌사이트) 악성코드 분석관련 튜토리얼 강좌 http://securityxploded.com/security-training.php 악성코드 분석에 대한 튜토리얼 자료 http://fumalwareanalysis.blogspot.it/p/malware-analysis-tutorials-reverse.html IDA 튜토리얼 동영상 사이트 http://www.woodmann.com/TiGa/idaseries.html 기본적인 악성코드 분석 동영상 http://www.youtube.com/watch?v=592uIELKUX8 (악성코드 분석 자료를 제공하는 블로그) 카이섹에서 제공하는 악성코드 및 취약점에 대한 분석자료 http://www.kisec.com/knowledge_channel/kiseclab?mode=list 그외 악성코드 및 취약점에 분석자료를 제공하는 해외 블로그들 http://blog.commandlinekungfu.com/ http://contagiodump.blogspot.com/ http://malwaremustdie.blogspot.jp/ http://www.hexacorn.com/blog/ http://www.malanalysis.com/blog/ http://windowsir.blogspot.kr/

10. 기타 참고자료

관련된 악성코드 샘플 및 IDA 분석 자료, code를 제공하는 사이트 http://code.google.com/p/malware-lu/ 악성코드 분석을 학습할 수 있는 다양한 자료 제공 http://tuts4you.com/download.php 악성여부를 안전하게 테스트 하기 위한 샌드박스 도구들과 사용방법을 소개한 자료 http://resources.infosecinstitute.com/sandboxes/ 어셈블리 언어를 배우고 실습해 볼 수 있는 튜토리얼 페이지 http://skilldrick.github.com/easy6502/index.html 쉘코드를 실행파일로 만들어 주는 사이트 http://sandsprite.com/shellcode_2_exe.php Base64 문자열을 encode/decode하여 실행파일로 만들어 주는 사이트 http://www.motobit.com/util/base64-decoder-encoder.asp 파이선 프로그래밍을 이용한 악성코드 분석 http://dsecrg.com/files/pub/pdf/Python%20arsenal%20for%20RE%201.1.pdf Metasploit을 통해 감염된 meterpreter.exe 악성코드 샘플 분석 http://resources.infosecinstitute.com/analysis-of-malware-samples Windbg를 이용한 커널 디버깅 http://core.ahnlab.com