-
파이썬을 이용하여 파일 업로드/다운로드 자동화하기
개요 누리랩에서는 악성코드를 수집하고 이를 분석한 뒤 유사도를 이용한 악성코드 탐지 정보를 아마존 EC2에 업로드한다. 누리랩의 주요 제품들은 이 정보를 다운로드 하여 악성코드 차단을 수행하게 된다. 악성코드는 아래 그림에서 보듯이 고객 또는 누리랩의 제품 서비스 그리고 허니팟등을 이용해 수집 서버에 파일을 모아두게 되는데 이는 FTP 접속을 통해 악성코드를 내려 받을 수 있다. 하지만 아마존 EC2는 SFTP를 통해 악성코드 유사도 정보를 업로드해야 한다. 여기에서는 파이썬을 이용해 FTP 서버에서 파일을 업로드/다운로드 방법과 아마존 EC2 인스턴스에 SFTP 접속하여...
-
디스크 이미지 파일 포맷 - ISO
개요 ISO 이미지(ISO image)는 국제 표준화 기구(ISO)가 제정한 광학 디스크의 압축 파일(디스크 이미지)이다1. 최근 이메일을 이용한 첨부 파일 형태의 공격 중 iso를 이용한 형태가 급증하고 있다. 결국 ISO 파일 내부에 존재하는 별도의 파일을 추출해야지만 악성코드를 탐지할 수 있다. ISO 구조 ISO 파일은 디스크 이미지인 만큼 섹터 단위로 구성되어 있다. 하나의 섹터의 크기는 2048(0x800) Byte이다2. ISO 구조를 해석하기 위해서는 볼륨 디스크립터부터 해석을 해야 하며 16 섹터에 위치하고 있다. 볼륨 디스크립터 구조 볼륨 디스크립터에서 볼 수 있듯이...
-
KicomAV 가이드 (악성코드 패턴 추가 방법 포함)
키콤백신이란? 키콤백신은 하우리 창업자(바이로봇 개발 및 악성코드 분석 총괄)이자 현재 누리랩 대표이신 최원혁씨가 만든 안티 바이러스이다. 또한 키콤백신은 현재 오픈소스로 공개되어 있으며, 꾸준히 업데이트 진행중이다. 키콤백신 설치 방법 키콤백신은 현재 0.33버전까지 업데이트되어 공개되어 있다. 키콤백신 설치 방법은 다음과 같다. 키콤백신(http://www.kicomav.com/)사이트에 들어가 아래로 조금 내리면 그림과 같이 다운로드 링크가 보인다. 해당 링크를 클릭하면 kicomav-master.zip이라는 압축파일을 다운로드 받게 된다. 압축을 풀고 들어가게 되면, 아래 그림과 같은 파일들이 보인다. 키콤백신 설치 후 압축을 풀었다면, 이제 키콤백신을 동작시키 위한...
-
누리랩 기술 블로그를 오픈합니다.
안녕하세요. 누리랩 대표 최원혁입니다. 이번에 누리랩 기술 블로그를 오픈하게 되어 너무나 기쁩니다. 2011년 개인사업자로 누리랩을 창업하면서 다양한 악성코드 분석을 위한 도구를 공개용으로 만들어 배포한 적이 있습니다. 그 중 HwpScan2는 아직도 악성코드를 분석하시는 분들에게는 사랑받는 도구로 자리매김을 하고 있습니다. 그동안 누리랩 사업이 커지면서 누리랩이 가진 기술을 프로그램으로만 만들어 보급하기에는 현실적이지 못하다는 판단을 내렸습니다. 그런 이유로 누리랩의 다양한 기술을 기술 블로그를 통해 공개하는 것이 더 현실적이라는 결론에 도달하였습니다. 비정기적이겠지만 누리랩 기술 중 오픈할 수 있는 내용들을 최대한...