Thor apt scanner란?
Nextron Systems 사에서 개발한 침해 진단 도구로 수천 개의 YARA 및 Sigma 규칙, IOC, 루트킷 및 이상 검사로 구성된 거대한 서명 세트를 통해 모든 종류의 위협을 검사하는 도구
실습 순서
- BPFDoor라는 악성코드 샘플 다운로드 (https://bazaar.abuse.ch/browse/tag/bpfdoor/) + 파일 암호가 있어 암호 없는 파일로 설정하여 저장한다. 실습을 하기 위해서 Thor apt scanner가 설치된 상태여야 한다.
- 다운로드 된 파일을 WinSCP를 이용하여 파일 공유 및 이동
- 악성코드 샘플 권한 변경
- 특정 악성코드 샘플 폴더를 Thor가 스캔하도록 쉘 스크립트 프로그래밍
- 매 한시간마다 쉘 스크립트를 실행해 스캔하도록 하며 cronlog.log로 로그 기록을 남긴다.
- 크론 로그 파일 내용을 보여주도록 하여 정상적으로 실행 여부 확인
사진 설명을 입력하세요.
악성코드 샘플의 권한을 살펴보면 읽기, 쓰기, 실행 권한이 모두 막혀있으므로 chmod 755 명령어를 이용해 권한을 변경 시킨다.
사진 설명을 입력하세요.
쉘 스크립트 프로그래밍으로 실행할 명령어를 주석문 처리해주어 test.sh를 실행시키면 자동으로 명령어가 실행되도록 설정하였다.
Thor apt scanner 스캔이 시작되면 Start Thor Lite scanning 문구가 띄우도록 입력한다. 성공하면 Sucessed Thor lite scan. 이 뜨게 되고 스캔이 실패하면 Failed Thor Lite scan 문구가 출력되도록 설정하였다.
사진 설명을 입력하세요.
crontab이라는 작업 스케줄러를 이용하여 매 한시간마다 test.sh를 실행시키고 cronlog.log로 로그 기록을 남기도록 입력하고 :wq로 저장한다.
wq = 저장하고 나가기
wq! = 강제 저장하고 나가기
사진 설명을 입력하세요.
사진 설명을 입력하세요.
로그 기록을 보게 되면 정상적으로 악성코드 샘플을 스캔한 것을 확인할 수 있다.
참고 사이트
https://koromoon.blogspot.com/2022/09/thor-apt-scanner.html
Thor apt scanner 사용법
'BLUE' 카테고리의 다른 글
| Yara rule 개념 및 이론 (0) | 2025.03.11 |
|---|---|
| 240509_ConnectWise ScreenConnect 취약점 악용(CVE-2024-1708, CVE-2024-1709) (0) | 2025.03.11 |
| 240322_ivanti Standalone Sentry와 ivanti Neurons 제품 취약점(CVE-2023-41724, CVE-2023-46808) (0) | 2025.03.11 |
| 240721_CrowdStrike Falcon 제품군 패치 적용시 윈도우 시스템 블루스크린(BSOD) 현상 (0) | 2025.03.11 |