APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈
비팬북스
2016년 12월 19일 출간
(개의 리뷰)
(
0%
의 구매자)
- eBook 상품 정보
- 파일 정보 ePUB (5.15MB)
- ISBN 9788994797335
- 쪽수 28쪽
- 지원기기 교보eBook App, PC e서재, 리더기, 웹뷰어
-
교보eBook App
듣기(TTS) 가능
TTS 란?텍스트를 음성으로 읽어주는 기술입니다.
- 전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를 읽을 수 있습니다.
- 전자책 화면에 표기된 주석 등을 모두 읽어 줍니다.
- 이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.
- '교보 ebook' 앱을 최신 버전으로 설치해야 이용 가능합니다. (Android v3. 0.26, iOS v3.0.09,PC v1.2 버전 이상)
이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.
작품소개
이 상품이 속한 분야
이 책은 메모리 포렌식 분석을 쉽게 이해할 수 있도록 SANS에서 주최한 첼린지(Challenge) 대회 문제를 풀이하는 과정을 다룬다. “APT Malware and Memory Challenge” 문제 풀이를 통해 침해 사고 과정에서 이슈되는 APT 공격을 이해할 수 있다. 메모리 포렌식 분석에서 제일 많이 사용되고 있는 볼라틸리티 프레임워크(Volatility Framework)를 활용할 것이며, 이와 관련된 도구들도 살펴본다.
1. 개요
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론
이 책에서 다룬 문제에 대한 풀이 사례는 다음과 같다.
1. 이 시스템에서 동작하는 악성(rogue) 프로세스는 iexplorer.exe(PID: 796)이다. 이 프로세스는 Local System 권한으로 작동하고 있으며, 내부에는 irykmmww.dll과 irykmmww.d1l이라는 모듈들을 임포트하고 있다. 해당 dll들은 바이러스 토탈 서비스의 분석 결과 악성코드임이 확인된 바 있다.
2. 이 시스템에 저장되어 있는 악성 파일은 \WINDOWS\system32\drivers\irykmmww.sys이며, 그와 관련한 irykmmww.dll 등도 파일의 형태로 덤프가 가능하므로 악성 파일인 것으로 간주할 수 있다.
3. 위에서 언급한 irykmmww.sys는 윈도우의 커널 드라이버 형태로 상주하고 있기 때문에 이 시스템의 모든 사용자는 공격자에게 무방비로 노출되어 있다. 재부팅시에도 자동으로 실행될 가능성이 높다.
4. 은닉을 위해서 iexplore.exe라는 MS 인터넷 익스플로러 정식 제품의 프로세스를 사용함으로써 쉽사리 의심하지 못하도록 하였고, dll 파일 확장자를 d1l 이라고 표기하는 눈속임 수법을 사용하였다.
5. 이 악성코드는 내부의 192.168.157.10:1053과 외부의 218.85.133.23:89에 연결을 수립하고 있다. IP 주소인 218.85.133.89를 호스팅하고 있는 곳을 whois에서 검색해보면 CHINANET Fujian Network이며, 중국 푸젠성 남동부의 샤먼(xiamen)이라는 항만 도시에 위치함을 알 수 있다. 그러나 실제의 침해사고인 경우에는 이러한 IP 주소가 프록시 서버를 경유하였거나, 단순 데이터 센터 역할만으로 이용하고 실제 공격자는 또 다른 곳에 잠적하였을 가능성도 높다. 이러한 이유로 디지털 포렌식 수사에서는 초국경성을 갖는 범죄가 비교적 자주 발생하여 국제 공조가 필요한 부분이 많아 난항을 겪기도 한다.
작가정보
저자 박재유는 공군 정보통신 장교로 복무하며 보안에 입문하였다. 전역 후 BOB 4기 과정을 수료하였으며, 현재 한국과학기술원(KAIST) 소프트웨어대학원에 재학 중이다. 보안프로젝트의 연구원으로 활동하며 디지털 포렌식과 침해 사고 대응 분야를 연구하고 있다. 소프트웨어 취약점 진단과 악성코드 분석에도 관심이 많다. 정보보안기사, 디지털 포렌식 전문가 자격을 소지하고 있다.
감수자 조정원은 보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 『비박스를 활용한 웹 모의해킹 완벽실습』, 『버프스위트 활용과 웹 모의해킹』, 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』, 『IT엔지니어로 사는법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』, 『칼리리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
이 상품의 총서
Klover리뷰 (0)
Klover리뷰 안내
Klover(Kyobo-lover)는 교보를 애용해 주시는 고객님들이 남겨주신 평점과 감상을 바탕으로, 다양한 정보를 전달하는 교보문고의 리뷰 서비스입니다.
1. 리워드 안내
구매 후 90일 이내에 평점 작성 시 e교환권 100원을 적립해 드립니다.
- - e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- - 리워드는 1,000원 이상 eBook, 오디오북, 동영상에 한해 다운로드 완료 후 리뷰 작성 시 익일 제공됩니다.
- - 리워드는 한 상품에 최초 1회만 제공됩니다.
- - sam 이용권 구매 상품 / 선물받은 eBook은 리워드 대상에서 제외됩니다.
2. 운영 원칙 안내
Klover리뷰를 통한 리뷰를 작성해 주셔서 감사합니다. 자유로운 의사 표현의 공간인 만큼 타인에 대한 배려를 부탁합니다. 일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오 발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
구매 후 리뷰 작성 시, e교환권 100원 적립
문장수집
문장수집 안내
문장수집은 고객님들이 직접 선정한 책의 좋은 문장을 보여 주는 교보문고의 새로운 서비스 입니다. 교보eBook 앱에서 도서 열람 후 문장 하이라이트 하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다. 마음을 두드린 문장들을 기록하고 좋은 글귀들은 ‘좋아요’ 하여 모아보세요. 도서 문장과 무관한 내용 등록 시 별도 통보없이 삭제될 수 있습니다.
리워드 안내
- 구매 후 90일 이내에 문장 수집 등록 시 e교환권 100원을 적립해 드립니다.
- e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- 리워드는 1,000원 이상 eBook에 한해 다운로드 완료 후 문장수집 등록 시 제공됩니다.
- 리워드는 한 상품에 최초 1회만 제공됩니다.
- sam 이용권 구매 상품/오디오북·동영상 상품/주문취소/환불 시 리워드 대상에서 제외됩니다.
구매 후 문장수집 작성 시, e교환권 100원 적립
교보eBook 첫 방문을 환영 합니다!
신규가입 혜택 지급이 완료 되었습니다.
바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!
신간 알림 안내
APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈
웹툰 신간 알림이 신청되었습니다.
신간 알림 안내
APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈
웹툰 신간 알림이 취소되었습니다.
리뷰작성
- 구매 후 90일 이내 작성 시, e교환권 100원 (최초1회)
- 리워드 제외 상품 : 마이 > 라이브러리 > Klover리뷰 > 리워드 안내 참고
- 콘텐츠 다운로드 또는 바로보기 완료 후 리뷰 작성 시 익일 제공
감성 태그
가장 와 닿는 하나의 키워드를 선택해주세요.
사진 첨부(선택)
0 / 5
총 5MB 이하로 jpg,jpeg,png 파일만 업로드 가능합니다.
신고/차단
신고 사유를 선택해주세요.
신고 내용은 이용약관 및 정책에 의해 처리됩니다.
허위 신고일 경우, 신고자의 서비스 활동이 제한될 수
있으니 유의하시어 신중하게 신고해주세요.
이 글을 작성한 작성자의 모든 글은 블라인드 처리 됩니다.
문장수집 작성
구매 후 90일 이내 작성 시, e교환권 100원 적립
eBook 문장수집은 웹에서 직접 타이핑 가능하나, 모바일 앱에서 도서를 열람하여 문장을 드래그하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다.
P.
APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈
저자 모두보기
저자(글)
낭독자 모두보기
sam 이용권 선택
님이 보유하신 이용권입니다.
차감하실 sam이용권을 선택하세요.
차감하실 sam이용권을 선택하세요.
sam 이용권 선택
님이 보유하신 이용권입니다.
차감하실 sam이용권을 선택하세요.
차감하실 sam이용권을 선택하세요.
sam 이용권 선택
님이 보유하신 프리미엄 이용권입니다.
선물하실 sam이용권을 선택하세요.
선물하실 sam이용권을 선택하세요.
결제완료
e캐시 원 결제
계속 하시겠습니까?
교보 e캐시 간편 결제
sam 열람권 선물하기
-
보유 권수 / 선물할 권수0권 / 1권
-
받는사람 이름받는사람 휴대전화
- 구매한 이용권의 대한 잔여권수를 선물할 수 있습니다.
- 열람권은 1인당 1권씩 선물 가능합니다.
- 선물한 열람권이 ‘미등록’ 상태일 경우에만 ‘열람권 선물내역’화면에서 선물취소 가능합니다.
- 선물한 열람권의 등록유효기간은 14일 입니다.
(상대방이 기한내에 등록하지 않을 경우 소멸됩니다.) - 무제한 이용권일 경우 열람권 선물이 불가합니다.
이 상품의 총서 전체보기
네이버 책을 통해서 교보eBook 첫 구매 시
교보e캐시 지급해 드립니다.
교보e캐시 지급해 드립니다.
- 첫 구매 후 3일 이내 다운로드 시 익일 자동 지급
- 한 ID당 최초 1회 지급 / sam 이용권 제외
- 네이버 책을 통해 교보eBook 구매 이력이 없는 회원 대상
- 교보e캐시 1,000원 지급 (유효기간 지급일로부터 7일)
구글북액션을 통해서 교보eBook
첫 구매 시 교보e캐시 지급해 드립니다.
첫 구매 시 교보e캐시 지급해 드립니다.
- 첫 구매 후 3일 이내 다운로드 시 익일 자동 지급
- 한 ID당 최초 1회 지급 / sam 이용권 제외
- 구글북액션을 통해 교보eBook 구매 이력이 없는 회원 대상
- 교보e캐시 1,000원 지급 (유효기간 지급일로부터 7일)