스노트(snort), 수리카타(Suricata)로그를 분석해서 어떻게 악성코드에 감염되었는지 살펴보는 문제다. 샘플 : https://www.malware-traffic-analysis.net/2018/07/17/index.html 스노트 로그스노트 로그를 분석하면 192.168.1.95가 149.129.222.112에게 RAR파일을 받고 PE파일을 실행한다.
RAR파일을 다운 받기 위해 192.168.1.95는 HTTP POST요청을 한다. 수리카타 로그수리카타에서는 192.168.1.95가 ETPRO 트로이젠 악성코드를 다운로드를 의심한다.
그리고 곧바로 185.68.93.18에게 감염 사실을 알린다. 수리타카는 C&C(Command And Control) 신호라고 의심한다. 192.168.1.95가 실행한 PE파일은 봇넷(Botnet)악성코드일 가능성이 높다..........
원문 링크 : 간단한 스노트, 수리카타 로그 분석
