| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- malware
- javascript
- ecma
- idapython
- commandline
- hex-rays
- debugging
- mock.patch
- Injection
- idb2pat
- Ransomware
- pytest
- MySQL
- open office xml
- NumPy Unicode Error
- error
- why error
- idapro
- TensorFlow
- Rat
- Analysis
- svn update
- Python
- data distribution
- x64
- ida
- 포인터 매핑
- error fix
- h5py.File
- ida pro
- Today
- Total
13 Security Lab
Fakenet, Windows Network Simulation Tool For Malware Analysis 본문
Fakenet, Windows Network Simulation Tool For Malware Analysis
Maj0r Tom 2017. 5. 3. 02:27
Fakenet은 오픈소스 형태로 제공되고 있는 네트워크 시뮬레이션 툴이다.
좀 더 명확히는 윈도우즈시스템에서 발생하는 서버와의 통신에 대해서 서버가 살아있지 않아도 살아 있는 것처럼 테스트 해준다.
악성코드를 수집 후 행위를 분석할 때, 그 C&C 서버 또는 다운로드 서버는 그 라이프사이클이 짧아 금방 닫히는 경우가 많아 어려움을 겪는데 이에 유용하게 사용 할 수 있다.
오픈소스 형태로 Github에서 소스코드를 받을 수 있지만, 릴리즈 된 바이너리 또한 제공하고 있으므로 아래 주소에서 받아 사용 할 수 있다.
https://github.com/fireeye/flare-fakenet-ng/releases
만약 해당 서버가 살아있지 않은 경우, 세션을 맺은 이후 패킷을 전송하거나 요청하는 부분의 행위를 알 수 없으므로 이에 사용하면 유용할 것으로 보인다.
또한, 소스코드가 수정가능하므로, 경우에 따라 어떤 패킷이 가고 오는 지를 수정하여 쓸 수 있을 것 같다.
참고 사이트
1. source code
https://github.com/fireeye/flare-fakenet-ng/
2. fireeye blog post
https://www.fireeye.com/blog/threat-research/2016/08/fakenet-ng_next_gen.html
3. blog post 2
https://www.darknet.org.uk/2014/07/fakenet-windows-network-simulation-tool-malware-analysis/
4. blackhat: Counterfeiting the Pipes with FakeNet
https://www.blackhat.com/docs/eu-14/materials/eu-14-Sikorski-Counterfeiting-The-Pipes-With-FakeNet-2-0.pdf
5. faknet manual 2013
https://igppweb.ucsd.edu/~agnew/Miscsoft/fakenetman.pdf
