1) VB2016 paper: Open source malware lab(http://kkn1220.tistory.com/115)
2) Cuckoo Sandbox (http://kkn1220.tistory.com/116)
3) Thug (http://kkn1220.tistory.com/117)
4) Volatility (http://kkn1220.tistory.com/119)
Bro
1. Bro 개념
- Bro는 침입탑지 시스템(IDS) 중 하나
- 네트워크 패킷을 읽어 유해한 내용을 탐지하는 솔루션에서 출발-> 탐지 뿐만 아니라 클러스터링과 분석까지 수행
- 분석에는 오프라인 분석과 포렌직까지 수행 (진행 중인데 현재 상황 확인 필요)
- 다양한 응용 프로토콜 지원(DNS, FTP, HTTP, IRC,
SMTP, SSH, SSL 등)
- 포괄적인 IPv6 지원.
2. Bro Architecture
- Tap: 감청을 위해 패킷 스트림의 복사본을 만드는 메커니즘
- Frontend: 트래픽을 많은 스트림 또는 플로우들로 나누는 호스트 상의 기술
- Manager: 로그 메시지들을 받아 처리하고, 중복 노티스 제거
- Proxy: 동기화 상태 관리
- Worker: 네트워크 트래픽을 스니핑하고, 프로토콜 분석 수행
모든 프로토콜에 대한 파싱과 분석 수행
모든 프로토콜에 대한 파싱과 분석 수행
- Bro는 멀티쓰레드가 아님. 그래서, 일단, 싱클 프로세서 코어의 한계가 있고, 현재 이를 위한 선택사항으로 부하를 다수 코어에 분배하는 것을
고려할 수 있음.
3. 설치
1) Bro 다운로드
https://www.bro.org/download/index.html
2) 필수 설치 항목 설치
$sudo apt-get install cmake make gcc g++ flex bison libpcap-dev python-dev swig zlibig-dev
3) 컴파일 설정 파일 생성
$ sudo ./configure
4) 컴파일 및 설치
$sudo make
$sudo make install
4. 실행
(자세한 실행은 추후 진행 예정..)
반응형
'기타 > 악성코드 분석' 카테고리의 다른 글
volatility 개념 및 분석 (0) | 2017.03.27 |
---|---|
Thug 개념 및 설치 (0) | 2017.03.27 |
Cuckoo sanbox 개념 및 설치 (5) | 2017.03.27 |
Open source malware lab 정리 (0) | 2017.03.27 |
악성파일 분석의 4단계 (Mastering 4 Stages of Malware Analysis) (0) | 2017.03.13 |