FLOSS

FLOSS(FireEye Labs Obfuscated String Solver)는 Windows PE(Portable Executable) 파일에서 해독된 문자열을 자동으로 감지, 추출 및 디코딩하는 오픈 소스 툴입니다. 악성코드 분석가, 포렌식 조사 담당자, 사고 대응 담당자는 FLOSS를 이용하여 민감한 문자열을 신속하게 추출하여 침해 지표를 식별할 수 있습니다.

악성코드 작성자는 프로그램에서 문자열을 인코딩하여 악의적인 기능을 숨기고 리버스 엔지니어링을 지연시킵니다. 아무리 단순한 인코딩 수법이라도 '문자열' 툴을 무력화하고 정적/동적 분석을 복잡하게 합니다. FLOSS는 에뮬레이션과 같은 고급 정적 분석 기법을 활용하여 인코딩된 문자열을 해독합니다.

바이너리의 문자열을 해독하는 방법을 알고 있는 사고 대응 담당자와 포렌식 분석가가 FLOSS의 출력을 분석합니다. FLOSS는 가치가 높은 문자열을 해독된 문자열로 추출합니다. 이러한 문자열에는 일반적으로 악성 도메인, IP 주소, 의심스러운 파일 경로 및 기타 IOC와 같은 가장 민감한 구성 리소스가 포함됩니다.

릴리스 노트

현재 버전: FLOSS 1.5
릴리스 날짜: 2017년 5월 8일

FLOSS 1.5는 오탐 해독 문자열을 필터링하는 기능, 향상되고 종합적인 스택 문자열과 향상된 추출 기능, 추가 API 후크 및 향상된 에뮬레이션 지원을 제공합니다.

  • 지원되는 운영 체제: Windows, Linux, macOS

FLOSS 다운로드