- lumenFC 축구 동호회
- 마샤블
- 웍스프레소
- 소셜@나눔<소셜미디어나눔연구소>
- 리버스코어
- LAIN
- LAIN 이사한 블로그
- TeamCR@K
- Sunnyday
- 보안 걱정이
- 리버싱 학습
- securityfirst_jo
- Practical Security Blog
- 세상, 그 유쾌한 전장
- 악성코드관련블로그
- Back to the Mac
- 패킷분석입문
- PacketInside / 네트워크 패킷 분석 블로그
- 침해사고분석 :: 네이버 블로그
- 소프트웨어 기술자경력관리시스템
- JK.Moon
- 자바 온라인학습
- Ezbeat의 도서관
- Dreams of a Final Journey
- IT eBooks - Free Download - Bi…
- Index of /madchat/coding/rever…
- Security Insight
- Reversing war game
- 고길고기
- clamav
- zerowine
- FORENSIC-PROOOF
- jquery 예제
- 조대협의블로그
- 국가과학기술인력개발원 교육포털 사이트
- 빅데이터, splunk
- 지식을 연주하는 사람
- malware analysis system
- 건국대토익스피킹
- 소프트웨어개발 및 협업도구
kisoo
좀비PC 프로세스 행동내역 감시 목록 본문
헤제크는 Agent 및 네트워크형 좀비PC 탐지 및 차단 행동을 하는데, 이에 있어 중요한 프로세스의 감시행동을 수행함으로써 좀비에 대한 검출을 수행한다.
HEZEK 는 좀비PC 의 행동 내역 및 악성시도를 감지하기 위해 아래와 같은 감시행동 내역을 가지는 좀비PC 방지 솔루션 이다.
아래의 행동내역은 특정 좀비PC 가 활동할때 또는 유입 될때 복수로 발생 하게 되며, 일정한 패턴 형태들을 가진다. 각각의 좀비 유형에 따라 같은 행동내역이라도 다수로 발생하며, 순차적으로 시나리오를 가지게 된다.
알려진 모든 유형의 좀비, 바이러스, 악성코드 등에 대한 행위를 분석해 보면, 아래중 다수의 일련의 복수 시나리오를 가지게 된다.
이것들을 시나리오로 묶어 놓은 것이 헤제크의 탐지 기법이다.
들어와서 드라이버를 로드하고, 레지스트리에 접근하고, 자신을 은닉하고, 자식 프로세스를 몇번 생성하고, 다시 파일을 수정하고, 등록하고 등등의 일련의 행위들을 묶어놓은 조합이라 이해하면 될것 같다.
헤제크 HEZEK 감시행동내역서
1. Session in 프로세스별 in/out방향에 대한 session 발생
2. Session out
3. Session in/out count를 계속 누적 한다.
4. Remote IP limit Target IP 통신 행위
5. IP Spoofing IP 변조하는 행위
6. Mac Spoofing Mac Add 변조하는 행위
7. ARP Spoofing 자신의 PC Mac 주소를 다른 PC 것으로 변조하는 행위
8. Packet Send out 외부로 패킷을 전송하는
9. Packet Receive in 적은 시간 안에 수천개 이상의 서로 다른 IP로 패킷을 송신하는 프로세스 감시
10. Packet Send/Receive
11. Command Open File openfile과 세부옵션을 검출
12. Command Create File 실행파일을 write모드
13. Command Write File 실행파일 생성 검출
14. Detect IDT Hook IDT 테이블을 By passing 없이 핸들러에 연결 행위
15. Create Service 유해 프로그램이 자신의 드라이버를 설치감지
16. Open Service
17. Access Physical memory 물리 메모리에 접근하는 행위
18. Create Process 프로세스의 생성 검출
19. Open Process 다른 프로세스에 접근 검출
20. Try SDT Hooking OS 주요 함수 테이블 침범해서 동작시키는 행위
21. Try Hide Service 자신의 행동를 감추는 행위
22. Try Hide process
23. Try Hide File
24. Try Register Startup Program Regedit의 RUN경로에 프로그램을 자동시작
25. Try Keyboard Hacking keyboard 해킹 시도 프로세스 검출
26. Run cmd.exe cmd.exe실행검출(파라미터도 검출)
27. Try Hide Register Value 레지스트리를 은닉하는 프로세스 검출
28. Call CreateRemote Thread 다른 프로세스의 접근하는 행위 검출
29. Call Open Thread 다른 프로세스의 접근하는 행위 검출
30. Try API Hooking 타 Process 주소 공간을 침범하는 행위(특정 api레벨의 hooking이 일어났는지 아니면 지금 시도하고 있는지 검출)
31. Change Magina.dll 운영체제의 login관련된 내용을 변경하는 경우 검출
32. No Name Process Name 이 없는 프로세스 검출
33. No Parent Process 부모가 없는 프로그램-좀비 파일
34. Cpu Ablity kernel레벨에서 cpu 점유율을 주기적으로 감시하여 점유율이 높은 프로세스 검출
35. Detect Create of Executable file 실행파일 생성
36. Detect Open File With Writeable Mode 실행파일 쓰기 모드
37. Detect Driver-Loading 새로운 드라버를 인식Load 하는 행위
38. Detect Write Process Memory 타 프로세스 메모리 공간에 침범하는 행위
39. Detect Terminat Process 프로세스를 강제로 종료하는 행위