YARA: 악성 코드 탐지 및 분석을 위한 강력한 도구 악성 코드와 악성 활동은 현대 사이버 보안의 주요 위협 중 하나이다. 이러한 위협을 탐지하고 대응하기 위해 보안 전문가와 조직들은 강력한 도구와 기술을 필요로 한다. YARA(Yet Another Recursive Acronym)는 악성 코드 및 악성 활동을 검출하기 위한 패턴 기반의 스캔 도구 및 언어로, 보안 커뮤니티에서 널리 사용되고 있는 강력한 오픈 소스 도구이다. 정의 YARA는 악성 코드 및 다른 악성 활동을 탐지하기 위한 규칙 기반의 스캔 도구로, 특정한 악성 코드 패턴 또는 특징을 정의하고 이를 사용하여 파일, 메모리 덤프, 프로세스 등을 검사하여 악성 코드의 존재를 식별한다. YARA는 규칙 기반의 언어를 제공하며, 이 규칙을 사용하..

UTM ❓ UTM(Unified Threat Management)은 네트워크 보안을 효과적으로 관리하기 위한 다기능 보안 장치로, 기업과 조직의 네트워크를 보호하고 다양한 보안 위협으로부터 안전한 환경을 유지하는데 사용되며 UTM 장치는 방화벽, 바이러스 및 악성 코드 검출, 침입 탐지 및 방지 시스템(IDS/IPS), 가상 사설망(VPN), 웹 필터링 등 다양한 기능을 통합하여 제공한다. 주요 장비구조 방화벽(Firewall): 네트워크 트래픽을 모니터링하고, 악의적인 트래픽을 차단하여 불법 접근을 막는다. 바이러스 및 악성 코드 검출: 이 기능은 실시간으로 파일 및 네트워크 트래픽을 검사하여 바이러스, 웜, 스파이웨어 등 악성 코드를 탐지하고 차단한다. 침입 탐지 및 방지 시스템(IDS/IPS): U..

개요 **대응방법** 0. AndroidManifest.xml 의 부분에 android:debuggable 값을 true/false로 설정 1. 디버깅 비활성화 2. 디버깅 시 사용되는 ptrace 선점 안티디버깅 3. 디버깅 시 발생되는 SIGTRAP 시그널 무시 4. ppid를 확인하여 앱을 실행 시킨 프로세스가 디버깅툴(GDB or LLDB)인지 확인 5."/proc/self/status" 파일 내용 중 TracerPid 값 확인 **우회** 디버깅 탐지 기능 취약점은 앱이 동작할 때 동적 디버깅 도구로 디버깅 가능 여부에 따라 취약한지 결정되는데 LLDB나 GDB, IDA와 같은 동적 디버깅 도구로 앱에 attach을 때 디버깅이 가능하면 취약한 것이다. 공격자는 애플리케이션 동적 디버깅을 통하여..