HOME
eBook
- eBook
- 오디오(북)
- 동영상
IT/프로그래밍
- 경제경영
- 자기계발
- 시/에세이
- 인문
- 종교
- 소설
- 국어/외국어
- 정치/사회
- 역사/문화
- 과학/공학
- IT/프로그래밍
- 건강/의학
- 가정/생활/요리
- 여행/취미
- 예술/대중문화
- 유아
- 아동
- 청소년
- 교재/수험서
- 외국도서
- 매거진
- 로맨스
- 로맨스판타지
- BL
- GL
- 판타지
- 무협
- 라이트노벨
- 추리
- 미스터리
- 스릴러
- 섹슈얼로맨스
- 단행본만화
- 웹툰
- 웹소설
OS/네트워크
- IT일반/교양
- 컴퓨터입문/활용
- 컴퓨터수험서
- 컴퓨터공학
- 데이터베이스/아키텍처
- OS/네트워크
- 코딩/프로그래밍/언어
- OA (사무 보조 프로그램)
- 웹사이트/홈페이지/블로그
- 그래픽/디자인
- 영상/미디어
- 게임
- AI/AR/VR
- 기타

APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈

박재유 지음

비팬북스

2016년 12월 19일 출간

(개의 리뷰)

( 0% 의 구매자)

eBook 상품 정보

파일 정보 ePUB (5.15MB)

ISBN 9788994797335

쪽수 28쪽

지원기기 교보eBook App, PC e서재, 리더기, 웹뷰어

교보eBook App 듣기(TTS) 가능

TTS 란?

텍스트를 음성으로 읽어주는 기술입니다.

전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를 읽을 수 있습니다.

이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.

소득공제

소장

정가 : 3,000원

쿠폰적용가 2,700원

10% 할인 | 5%P 적립

이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.

카드&결제 혜택

5만원 이상 구매 시 추가 2,000P
3만원 이상 구매 시, 등급별 2~4% 추가 최대 416P
리뷰 작성 시, e교환권 추가 최대 200원

상품정보
리뷰 (0)
이용안내

작품소개

이 상품이 속한 분야

이 책은 메모리 포렌식 분석을 쉽게 이해할 수 있도록 SANS에서 주최한 첼린지(Challenge) 대회 문제를 풀이하는 과정을 다룬다. “APT Malware and Memory Challenge” 문제 풀이를 통해 침해 사고 과정에서 이슈되는 APT 공격을 이해할 수 있다. 메모리 포렌식 분석에서 제일 많이 사용되고 있는 볼라틸리티 프레임워크(Volatility Framework)를 활용할 것이며, 이와 관련된 도구들도 살펴본다.

1. 개요
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론

이 책에서 다룬 문제에 대한 풀이 사례는 다음과 같다.

1. 이 시스템에서 동작하는 악성(rogue) 프로세스는 iexplorer.exe(PID: 796)이다. 이 프로세스는 Local System 권한으로 작동하고 있으며, 내부에는 irykmmww.dll과 irykmmww.d1l이라는 모듈들을 임포트하고 있다. 해당 dll들은 바이러스 토탈 서비스의 분석 결과 악성코드임이 확인된 바 있다.

2. 이 시스템에 저장되어 있는 악성 파일은 \WINDOWS\system32\drivers\irykmmww.sys이며, 그와 관련한 irykmmww.dll 등도 파일의 형태로 덤프가 가능하므로 악성 파일인 것으로 간주할 수 있다.

3. 위에서 언급한 irykmmww.sys는 윈도우의 커널 드라이버 형태로 상주하고 있기 때문에 이 시스템의 모든 사용자는 공격자에게 무방비로 노출되어 있다. 재부팅시에도 자동으로 실행될 가능성이 높다.

4. 은닉을 위해서 iexplore.exe라는 MS 인터넷 익스플로러 정식 제품의 프로세스를 사용함으로써 쉽사리 의심하지 못하도록 하였고, dll 파일 확장자를 d1l 이라고 표기하는 눈속임 수법을 사용하였다.

5. 이 악성코드는 내부의 192.168.157.10:1053과 외부의 218.85.133.23:89에 연결을 수립하고 있다. IP 주소인 218.85.133.89를 호스팅하고 있는 곳을 whois에서 검색해보면 CHINANET Fujian Network이며, 중국 푸젠성 남동부의 샤먼(xiamen)이라는 항만 도시에 위치함을 알 수 있다. 그러나 실제의 침해사고인 경우에는 이러한 IP 주소가 프록시 서버를 경유하였거나, 단순 데이터 센터 역할만으로 이용하고 실제 공격자는 또 다른 곳에 잠적하였을 가능성도 높다. 이러한 이유로 디지털 포렌식 수사에서는 초국경성을 갖는 범죄가 비교적 자주 발생하여 국제 공조가 필요한 부분이 많아 난항을 겪기도 한다.

작가정보

저자(글) 박재유

상세정보

컴퓨터공학자 번역가/통역사＞영어

저자 박재유는 공군 정보통신 장교로 복무하며 보안에 입문하였다. 전역 후 BOB 4기 과정을 수료하였으며, 현재 한국과학기술원(KAIST) 소프트웨어대학원에 재학 중이다. 보안프로젝트의 연구원으로 활동하며 디지털 포렌식과 침해 사고 대응 분야를 연구하고 있다. 소프트웨어 취약점 진단과 악성코드 분석에도 관심이 많다. 정보보안기사, 디지털 포렌식 전문가 자격을 소지하고 있다.

VolUtility 리뷰와 첼린지 문제 풀이 사례 - 메모리 포렌식 분석 시리즈
APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈

감수

감수자 조정원은 보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 『비박스를 활용한 웹 모의해킹 완벽실습』, 『버프스위트 활용과 웹 모의해킹』, 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』, 『IT엔지니어로 사는법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』, 『칼리리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

이 상품의 총서

전체선택

Klover리뷰 (0)

구매 후 리뷰 작성 시, e교환권 100원 적립

문장수집

구매 후 문장수집 작성 시, e교환권 100원 적립

소장 3,000 원