728x90
반응형
"악성코드 분석가의 비법서 스터디" 책에서 간추린 내용
1. 진짜 도메인과의 유사성 체크
ex) kakao.com ->kaka0.com
2. 말도 안되는 도메인 (DGA, Domain Generation Algorithm - 도메인 생성 알고리즘)
ex) hmhxnupkc.mooo.com (Kraken DGA)
3. 생성된지 얼마 안된 도메인 이거나 몇 주전에 만료된 도메인
ex) 합볍적인 도메인은 오래되었거나 만료되기 전에 갱신
4. 도메인 등록자 정보가 없거나 이상한 내용으로 등록되었을 경우
ex) name: geddong2
5. 도메인명에 대한 검색 엔진 결과가 악성으로 확인될때
6. 도메인이 RBLs 에 존재하거나 자동 스캐닝 엔진에 탐지된 이력이 있을때
ex) RBLs: Real-time Blocking Lists
spamhaus.org, dnsbl.abuse.ch 등등
7. 도메인이 실시간으로 변화할때
ex) 패스트 플럭스(Fast Flux) 도메인
Tip
우리가 흔히 부르는 Malware 는 알다시피 "Malicious Software" 의 준말
- 악성코드 분석가의 비법서를 보다가 -
728x90
반응형
'공부 > 콤퓨타' 카테고리의 다른 글
Packing and UnPacking (1) | 2015.10.30 |
---|---|
malware(fping.exe) (0) | 2015.10.28 |
IDA + OllyDbg (0) | 2015.10.27 |
Cheat Engine (0) | 2015.10.27 |
abex 3rd crackme (0) | 2015.10.26 |