본문 바로가기

리디북스 접속이 원활하지 않습니다. 새로 고침(F5)해주세요.
계속해서 문제가 발생한다면 리디북스 접속 테스트를 통해 원인을 파악하고 대응 방법을 안내드리겠습니다.
테스트 페이지로 이동하기

RIDIBOOKS

리디북스 검색

최근 검색어

'검색어 저장 끄기'로 설정되어 있습니다.


리디북스 카테고리



VolUtility 리뷰와 첼린지 문제 풀이 사례 - 메모리 포렌식 분석 시리즈 상세페이지

책 소개

<VolUtility 리뷰와 첼린지 문제 풀이 사례 - 메모리 포렌식 분석 시리즈> 이 책에서는 메모리 분석 프레임워크인 Volatility의 웹 인터페이스용 도구인 VolUtility를 소개하고, 설치 과정과 사용법을 설명한다. 그리고 실전 문제인 The Honeynet Project에서 2010년 진행했던 포렌식 챌린지 중 Banking Troubles 문제를 볼유틸리티로 풀이한다.


출판사 서평

지금까지의 증거들을 종합하면, 피해를 입은 직원은 Firefox.exe(888)으로 인터넷을 사용하던 중, 동료로부터 이메일을 받았다. 그리고 첨부 파일인 PDF를 AcroRd32.exe(1752)를 사용하여 열람하였다. 이는 2010년 2월 27일 20:12:23(UTC+0)에 발생한 일이다. 해당 시스템은 Adobe Acrobat Reader 프로그램의 구버전에 존재하였던 취약점이 패치되지 않은 상태였고, 문서 형태의 PDF 파일 내에 숨겨진 악의적인 JavaScript 취약점으로 인해 사용자가 의도하지 않은 코드가 원격으로 실행되었다. 이로 인해 사용자의 시스템은 http://searchnetwork-plus.com/load.php?a=a&st=Internet Explorer 6.0&e=2에 접속하였다. 해당 URL은 이스라엘에 위치한 것으로 보이며, 사용자의 시스템은 Zeus malware를 다운로드하였다. 이 악성코드는 다시 https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome에 지속적인 통신을 수행하였다.이는 은행 업무와 관련된 사이트이다. 즉, 피해 직원이 금전적인 손실을 입게 한 직접적인 원인이다. 위의 URL에 접근한 프로세스는 단순히 하나가 아니라, svchost.exe(880, 1244), firefox.exe(888), AcroRd32.exe(1752) 등으로 다양한 것으로 볼 때 악성코드는 일회성이 아니라 이미 시스템을 상당 부분 장악한 것으로 보인다. << 중략 >> 결론적으로 사용자는 자신도 모르는 사이 Zeus에 감염된 상태에서 인터넷 서핑을 하다가 은행 계좌 등의 민감한 정보를 입력했을 것이고, 악성코드가 관련 API를 후킹하여 그 정보를 탈취한 후 별도로 저장하거나, C&C 서버에게 전달하였을 것이다. 해커는 이렇게 수집된 정보를 통해 은행에 접속하여 마치 주인인 것처럼 돈을 인출했을 것으로 보인다. 본 침해사고에서 피해자는 동료로부터 받은 이메일 때문에 사건이 발생했다고 주장하였다. 당연히 해당 동료에 대한 수사가 필요할 것이나, 정황상 사회공학적(Social Engineering)인 해킹에 당했을 가능성도 높다. 즉, 동료가 보낸 것처럼 위장한 것에 속은 것일 가능성 또한 높으며 최근의 지능형 지속 공격(APT)의 사례에서도 대부분 이와 비슷한 시나리오로 전개된다.


저자 프로필


저자 소개

박재유
공군 정보통신 장교로 복무하며 보안에 입문하였다. 전역 후 BOB 4기 과정을 수료하였으며, 현재 한국과학기술원(KAIST) 소프트웨어대학원에 재학 중이다. 보안프로젝트의 연구원으로 활동하며 디지털 포렌식과 침해 사고 대응 분야를 연구하고 있다. 소프트웨어 취약점 진단과 악성코드 분석에도 관심이 많다. 정보보안기사, 디지털 포렌식 전문가 자격을 소지하고 있다.

조정원(감수)
보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 『비박스를 활용한 웹 모의해킹 완벽실습』, 『버프스위트 활용과 웹 모의해킹』, 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』, 『IT엔지니어로 사는법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』, 『칼리리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

목차

1장 VolUtility 소개

2장 VolUtility 1.0 설치
2.1 Ubuntu 16.04 LTS
2.2 MongoDB
2.2.1 로컬 저장소 등록
2.2.2 MongoDB 설치
2.2.3 MongoDB 실행
2.3 Volatility
2.4 기타 도구 연동
2.4.1 Yara 설치
2.4.2 VirusTotal API 연동
2.4.3 libpff 설치
2.4.4 maxmind Geo DB 설치
2.5 VolUtility 설치

3장 VolUtility 사용법
3.1 웹 서비스(Django) 실행
3.2 메모리 분석 시작하기
3.3 볼라틸리티 플러그인 사용하기
3.4 Tool Bar 메뉴 사용하기

4장 VolUtility를 이용한 Challenge 문제 풀이
4.1 문제 시나리오
4.2 포렌식 분석
4.2.1 이미지 정보
4.2.2 프로세스 정보
4.2.3 네트워크 기반 정보
4.2.4 URL 정보
4.2.5 파일 추출
4.2.6 의심파일 상세분석
4.2.7 안티 바이러스 서비스를 통한 분석
4.2.8 레지스트리 분석
4.3 종합 결론

참고문헌


리뷰

구매자 별점

4.7

점수비율

  • 5
  • 4
  • 3
  • 2
  • 1

7명이 평가함

리뷰 작성 영역

이 책을 평가해주세요!

내가 남긴 별점 0.0

별로예요

그저 그래요

보통이에요

좋아요

최고예요

별점 취소

구매자 표시 기준은 무엇인가요?

‘구매자’ 표시는 유료 도서를 결제하고 다운로드하신 경우에만 표시됩니다.

무료 도서 (프로모션 등으로 무료로 전환된 도서 포함)
'구매자'로 표시되지 않습니다.
시리즈 도서 내 무료 도서
'구매자’로 표시되지 않습니다. 하지만 같은 시리즈의 유료 도서를 결제한 뒤 리뷰를 수정하거나 재등록하면 '구매자'로 표시됩니다.
영구 삭제
도서를 영구 삭제해도 ‘구매자’ 표시는 남아있습니다.
결제 취소
‘구매자’ 표시가 자동으로 사라집니다.

이 책과 함께 구매한 책


이 책과 함께 둘러본 책



본문 끝 최상단으로 돌아가기


spinner
모바일 버전