I.A.P

샌드박스란?

외부 프로그램을 보호된 영역에서 동작시켜 부정된 방식으로 조작되는 것을 방지

쿠쿠 샌드박스과 기계학습을 이용하여 악성코드를 분석한다.

쿠쿠 샌드박스는 가상머신환경에서 악서코드를 자동화 분석하는 시스템이다.

RNN(recurrent 신경망) recurrent  = 반복되는 , 입력 , hidden state , 출력 등 이있다.

독립적이라기보다 이전 네트윅 메모리를 활용되는 점이 특징이다.

기계학습 중에 RNN모델의 응용판 중 하나인 LSTM을 사용하여 악성코드를 분석하는 것을 목표로 한다.

LSTM은 위 사진을 참조하면 알겠지만 레이어가 4개이다.

즉 , RNN보다 훨씬 높은 레이어를 기억할 수 있다.

VEH(벡터화된 예외 처리기)를 사용한다.

VEH는 SEH(구조환된 예외 처리기 )보다 더 높은 우선순위로 동작한다.

쿠쿠샌드박스.pptx

샌드박스 

https://ko.wikipedia.org/wiki/%EC%83%8C%EB%93%9C%EB%B0%95%EC%8A%A4_(%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B3%B4%EC%95%88)

LSTM

http://colah.github.io/posts/2015-08-Understanding-LSTMs/

RNN

http://aikorea.org/blog/rnn-tutorial-1/

세션하이재킹

http://blog.naver.com/PostView.nhn?blogId=demonicws&logNo=40110981534

보안은 경영자들한테 우선순위에 밀려있다.

멀티 클라우드 시대는 ‘애플리케이션 보안’, 위협 첩보는 ‘데이터 분석력’

어플리케이션 = 데이터가 들어가는데 꼭 거쳐야 하는 곳

과거에는  어플리케이션을 클라우드 내에 두었지만

현재는 바깥에 둔다.

즉 어플리케이션의 보호가 이루어져 있지 않기에 어플리케이션 보안에 각별히 신경써야 한다.

클라우드는 거스를 수 없는 트렌드이며 점점 더 비중이 커질 것이다. 

아무리 첩보를 공유한다 할지라도 취약점을 공유한다고 할지라도

단편적인 정보로서는 아무런 의미가 없다. 그렇기에

데이터를 분석할 줄 알아야한다.

>> 허니넷 , 허니팟

http://copycode.tistory.com/75

>> 핑거 프린팅

https://www.copyright.or.kr/information-materials/dictionary/view.do?glossaryNo=868&pageIndex=73&searchLangType=&searchkeyword=&pageDisplaySize=10&searchIdx=&searchText=&clscode=01&searchTarget=

>> 양자암호학이란?

http://blog.daum.net/_blog/BlogTypeView.do?blogid=0qxd8&articleno=284&categoryId=20&regdt=20160104154849

>>파밍 VS 피싱 차이

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=20624

>> 이더리움 개론

ethereum_intro.pdf

>>스마트 계약

https://medium.com/@soonhyungjung/%EC%9D%B4%EB%8D%94%EB%A6%AC%EC%9B%80-%EC%8A%A4%EB%A7%88%ED%8A%B8-%EA%B3%84%EC%95%BD-2-%EA%B0%9C%EB%85%90-fbdb597ad60b

>> 워너크라이 정리

https://www.youtube.com/watch?v=rebecmJtTQo

>>의사결정이론

http://blog.acronym.co.kr/431

>> 머신러닝

http://sanghyukchun.github.io/74/

>> proof of work 

https://www.slideshare.net/skimaza/ss-57356762

>> kmaens 알고리즘

http://knight76.tistory.com/entry/R-kmean%EC%95%8C%EA%B3%A0%EB%A6%AC%EC%A6%98

>> ML와 MAP

http://darkpgmr.tistory.com/62

블록체인 기술은 IOT와 결합해서 유용하게 사용될 수 있다.

많은 노드들은 보안성을 강화시킨다. (특히 무결성)

**스마트 계약**

http://www.boannews.com/media/list.asp?kind=6

돈을 지불하면 자동으로 권한을 부여한다. 

부동산 계약 등에 사용될 수 있다.

워너크라이 랜섬웨어 정리 영상

https://www.youtube.com/ 

버그 바운티 (신고포상제)

미래부와 국정원의 정보공유를 통한 시너지효과

민간뿐만아니라 국가에서도 정보보안분야에 개입해서 해결하는데 도움을 줘야한다.

킬 스위치  : 스마트폰을 잃어버렸을 떄 원격으로 사용을 불가능토록 하기위해 만들어진 기능

워너크라이 랜섬웨어 : 인터넷 익스플러 및 Flash의 취약점을 활용

페이지 접속 시 자동으로 다운로드 받도록 동작 , 요새는 광고배너를 많이 이용하기도 한다.

공개키 암호화 방식

복호화를 위한 파일을 서버로 전송할 것인가? 어디에 숨길 것인가?

워너크라이 --> 8천만원 이익

비트코인으로  이익을 챙긴다.

비트코인은 추적이 어렵다는 특성을 갖고 있다.

어플리케이션 백엔드의 보안에도 신경써야 한다.

비관계형 관계형 DB

http://www.boannews.com/media/view.asp?idx=55058

 남에게 피해를 입히기 위해 개발된 소프트웨어 = 멀웨어 (악성소프트웨어)

최근 구글에서 사상 최악의 멀웨어가 나왔다

http://www.boannews.com/media/view.asp?idx=55012&skind=O

원인

이번 워너크라이는 전역적으로 퍼졌지만 이익이 적었다는 점은 수상하다. 

비트코인의 가치를 상승시키기위해서 워너크라이 랜섬웨어를 퍼뜨렸다는 이야기가 나왔다.

과연 이 말은 사실일까/? 실제로 이더리움과 비트코인의 가치는 엄청나게 상승하고 있다.

http://www.boannews.com/media/view.asp?idx=55031&skind=O

https://translate.google.co.kr/translate?sl=en&tl=ko&js=y&prev=_t&hl=ko&ie=UTF-8&u=http%3A%2F%2Fshell-storm.org%2Fblog%2FIn-Memory-fuzzing-with-Pin%2F&edit-text=&act=url - 메모리 퍼징

https://ko.wikipedia.org/wiki/%EC%84%B8%EA%B7%B8%EB%A9%98%ED%85%8C%EC%9D%B4%EC%85%98_%EC%98%A4%EB%A5%98 - SIGSEGV

Google 번역.html

SIGSEGV는 세그먼트 오류로서 메모리 접근을 해서는 안되는 곳에 했거나 허용되지않은 방식으로 메모리에 접근했을 때 발생한다.

세그먼트 오류의 신호를 인터셉트하여 콜백함수를 등록하고 그 콜백함수는 현재 컨텍스트를 출력한다.

위 사진을 보면 알겠지만 pintool의 함수를 이용하여 컨텍스트를 저장하고 후단부 중단점(breakpoint)에서 다시 뒤로 돌아가게끔 코드를 작성한다. 그리고 되돌아갈때 세그먼트오류가 발생하고 이 신호를 캐치하여 다양한 입력값을 대입하여 취약점분석을 할 수 있는 것이다.

이것이 메모리 인 퍼징 기법이라고 보면 된다.

사용하는 함수는 파일을 보면 알겠지만

pin_InterceptSiginal

pin_SaveContext()

pin_Excute_At()

INS_MemoryOperandsIsWritten()'    함수를 사용하여 실행한다,

pintool과 결부하여 사용하기 좋은 라이브러리이다.

Z3란 게 SMTsolver로서 사용된다고 한다.

원하는 경로를 위한 해(solve)를 구해주는 툴이라고 보면된다.

핀툴의 경우 속도가 매우 느린데 이 툴을 사용하여 원하는 경로만 볼 수 있다면 분석시간을 많이 단축 시킬 수 있을 것이다.

https://github.com/Z3Prover/z3 

github를 참조하자!

빌드된 버전도 있으니 사용하자!

-->  z3-4.3.2-x64-win.zip

z3실행파일이 생성되며 주요언어를 모두 지원한다.

파이썬을 통해서 하는 게 가장 편할것이다.

인터프리터 언어이기 떄문이다.

C언어나 C++로 하기 위해서는 외부라이버리를 참조해야만 사용가능하다.

angr과 triton은 같이 사용하는 프레임워크이다.

http://rise4fun.com/z3/tutorial

http://xer0s.tistory.com/97

http://revers3r.tistory.com/424 - angr

https://triton.quarkslab.com - triton

http://shell-storm.org/blog/Stack-and-heap-overflow-detection-at-runtime-via-behavior-analysis-and-PIN/

파싱이란? - 가공되지 않은 데이터에서 원하는 특정한 문자열을 빼내는 작업

makefile형식으로 이루어져 있다.

대학교에 보안을 정말 잘하는 친구가 있었습니다. 그 친구의 도움을 통해서 자료를 좀 구해가지고 컴퓨터구조랑 어셈블리어 등등 기초적인 부분을 공부하였습니다. 그 후 github에서 재밌는 소스코드가 있다면서 사용해보고 개조해보는 게 어떻냐고 친구의 추천을 받아 소스를 분석 해보았습니다. 혹여나 저작권에 걸릴까봐 소스는 뿌리지는 못하겠습니다. PPT를 참조하시면 쉽게 이해하실 수 있습니다.

학술제.pptx

어떻게 만들었는지 과정도 세세하게 적혀있으므로 직접 해보시는 것도 추천합니다.