본문 바로가기

리디북스 접속이 원활하지 않습니다. 새로 고침(F5)해주세요.
계속해서 문제가 발생한다면 리디북스 접속 테스트를 통해 원인을 파악하고 대응 방법을 안내드리겠습니다.
테스트 페이지로 이동하기

RIDIBOOKS

리디북스 검색

최근 검색어

'검색어 저장 끄기'로 설정되어 있습니다.


리디북스 카테고리



APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈 상세페이지

책 소개

<APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈> 이 책은 메모리 포렌식 분석을 쉽게 이해할 수 있도록 SANS에서 주최한 첼린지(Challenge) 대회 문제를 풀이하는 과정을 다룬다. “APT Malware and Memory Challenge” 문제 풀이를 통해 침해 사고 과정에서 이슈되는 APT 공격을 이해할 수 있다. 메모리 포렌식 분석에서 제일 많이 사용되고 있는 볼라틸리티 프레임워크(Volatility Framework)를 활용할 것이며, 이와 관련된 도구들도 살펴본다.


출판사 서평

이 책에서 제시한 문제 풀이 결과는 다음과 같다.

1. 이 시스템에서 동작하는 악성(rogue) 프로세스는 iexplorer.exe(PID: 796)이다. 이 프로세스는 Local System 권한으로 작동하고 있으며, 내부에는 irykmmww.dll과 irykmmww.d1l이라는 모듈들을 임포트하고 있다. 해당 dll들은 바이러스 토탈 서비스의 분석 결과 악성코드임이 확인된 바 있다.
2. 이 시스템에 저장되어 있는 악성 파일은 \WINDOWS\system32\drivers\irykmmww.sys이며, 그와 관련한 irykmmww.dll 등도 파일의 형태로 덤프가 가능하므로 악성 파일인 것으로 간주할 수 있다.
3. 위에서 언급한 irykmmww.sys는 윈도우의 커널 드라이버 형태로 상주하고 있기 때문에 이 시스템의 모든 사용자는 공격자에게 무방비로 노출되어 있다. 재부팅시에도 자동으로 실행될 가능성이 높다.
4. 은닉을 위해서 iexplore.exe라는 MS 인터넷 익스플로러 정식 제품의 프로세스를 사용함으로써 쉽사리 의심하지 못하도록 하였고, dll 파일 확장자를 d1l 이라고 표기하는 눈속임 수법을 사용하였다.
5. 이 악성코드는 내부의 192.168.157.10:1053과 외부의 218.85.133.23:89에 연결을 수립하고 있다. IP 주소인 218.85.133.89를 호스팅하고 있는 곳을 whois에서 검색해보면 CHINANET Fujian Network이며, 중국 푸젠성 남동부의 샤먼(xiamen)이라는 항만 도시에 위치함을 알 수 있다. 그러나 실제의 침해사고인 경우에는 이러한 IP 주소가 프록시 서버를 경유하였거나, 단순 데이터 센터 역할만으로 이용하고 실제 공격자는 또 다른 곳에 잠적하였을 가능성도 높다. 이러한 이유로 디지털 포렌식 수사에서는 초국경성을 갖는 범죄가 비교적 자주 발생하여 국제 공조가 필요한 부분이 많아 난항을 겪기도 한다.


저자 프로필


저자 소개

공군 정보통신 장교로 복무하며 보안에 입문하였다. 전역 후 BOB 4기 과정을 수료하였으며, 현재 한국과학기술원(KAIST) 소프트웨어대학원에 재학 중이다. 보안프로젝트의 연구원으로 활동하며 디지털 포렌식과 침해 사고 대응 분야를 연구하고 있다. 소프트웨어 취약점 진단과 악성코드 분석에도 관심이 많다. 정보보안기사, 디지털 포렌식 전문가 자격을 소지하고 있다.

조정원(감수): 보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 『비박스를 활용한 웹 모의해킹 완벽실습』, 『버프스위트 활용과 웹 모의해킹』, 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』, 『IT엔지니어로 사는법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』, 『칼리리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

목차

1. 개요
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론


리뷰

구매자 별점

4.3

점수비율

  • 5
  • 4
  • 3
  • 2
  • 1

12명이 평가함

리뷰 작성 영역

이 책을 평가해주세요!

내가 남긴 별점 0.0

별로예요

그저 그래요

보통이에요

좋아요

최고예요

별점 취소

구매자 표시 기준은 무엇인가요?

'구매자' 표시는 리디북스에서 유료도서 결제 후 다운로드 하시거나 리디셀렉트 도서를 다운로드하신 경우에만 표시됩니다.

무료 도서 (프로모션 등으로 무료로 전환된 도서 포함)
'구매자'로 표시되지 않습니다.
시리즈 도서 내 무료 도서
'구매자’로 표시되지 않습니다. 하지만 같은 시리즈의 유료 도서를 결제한 뒤 리뷰를 수정하거나 재등록하면 '구매자'로 표시됩니다.
영구 삭제
도서를 영구 삭제해도 ‘구매자’ 표시는 남아있습니다.
결제 취소
‘구매자’ 표시가 자동으로 사라집니다.

이 책과 함께 구매한 책


이 책과 함께 둘러본 책



본문 끝 최상단으로 돌아가기


spinner
모바일 버전