-
RanSim을 이용한 랜섬웨어 행위 시나리오 확인하기
개요 RanSim이라는 프로그램을 소개하고 랜섬웨어가 어떠한 방식으로 사용자의 파일을 암호화하는지 살펴본다. RanSim이란 KnowBe41사는 과거 유명한 해커였던 Kevin Mitnick이 보안 컨설턴트로 참여하고 있으며 랜섬웨어나 다른 보안 문제를 효과적으로 관리할 수 있는 도구와 교육을 제공하고 있다. RanSim2은 이 KnowBe4 사에서 개발한 랜섬웨어 행위 시뮬레이터 프로그램이다. RanSim은 기존 시스템에 존재하는 파일에는 영향을 주지 않으며 100% 안전한 시뮬레이션을 제공한다. 본 문서에서 사용한 RanSim 버전은 2.1.0.3 버전이다. RanSim은 버전을 업그레이드하면서 최신 랜섬웨어 경향을 반영하고 있으며 시나리오의 개수도 점점 늘어나고 있다....
Bo-Seung Ko's profile imageBo-Seung Ko
2020-07-06 09:00
-
초간단 실시간 감시기 만들기 (3)
연재 순서 첫번째 글: 실시간 감시기란 두번째 글: 미니필터 드라이버를 사용하여 실시간 파일 I/O 확인하기 세번째 글: KicomAV 엔진을 사용하여 유해한 파일인지 확인하기 KicomAV 엔진을 C 코드에서 사용하기 KicomAV 는 (주) 누리랩의 최원혁 대표가 개발한 안티 바이러스 백신 프로그램이다. KicomAV 는 파이썬으로 개발되었으며 오픈소스여서 관심있는 개발자라면 누구나 소스코드를 확인할 수 있다. 더불어 “파이썬으로 배우는 Anti-Virus 구조와 원리” 라는 책에서는 KicomAV의 구조 및 악성코드 진단 방법을 자세하게 설명하고 있다. 이에 대한 내용은 아래의 링크에서 확인할 수...
Bo-Seung Ko's profile imageBo-Seung Ko
2020-06-01 06:30
-
초간단 실시간 감시기 만들기 (2)
연재 순서 첫번째 글: 실시간 감시기란 두번째 글: 미니필터 드라이버를 사용하여 실시간 파일 I/O 확인하기 세번째 글: KicomAV 엔진을 사용하여 유해한 파일인지 확인하기 WDK 설치하기 WDK는 Windows Driver Kit의 약어이다. 과거 DDK에서부터 최신 WDK의 변천사는 아래 링크에서 확인할 수 있다. https://en.wikipedia.org/wiki/Windows_Driver_Kit 윈도우 운영체제에서 동작하는 드라이버를 개발하려면 WDK를 설치해야 한다. 우리는 Windows Driver Kit 7.1.0 버전을 사용할 것이다. 이 버전을 설치하면 다양한 드라이버 샘플 소스코드를 제공받을 수 있고 Visual Studio 빌드 환경을 빌리지 않아도 Command 창을...
Bo-Seung Ko's profile imageBo-Seung Ko
2020-05-25 07:00
-
초간단 실시간 감시기 만들기 (1)
연재 순서 첫번째 글: 실시간 감시기란 두번째 글: 미니필터 드라이버를 사용하여 실시간 파일 I/O 확인하기 세번째 글: KicomAV 엔진을 사용하여 유해한 파일인지 확인하기 실시간 감시기란 과연 실시간 감시기란 무엇일까? 일반적으로 실시간 감시기는 시스템 이벤트가 발생할 때 유해 여부를 검사하여 유해한 것은 차단하고 그렇지 않은 것은 허용하는 프로그램을 일컫는다. 윈도우 환경이라면 시스템 이벤트는 파일 연산, 레지스트리 연산, 프로세스/스레드 연산, 네트워크 연산 등으로 다양하다. 그리고 파일 연산을 좀 더 구체화하면 파일의 생성, 읽기, 쓰기, 이름변경, 이동, 삭제,...
Bo-Seung Ko's profile imageBo-Seung Ko
2020-05-18 07:00