APT 악성코드와 메모리 분석 첼린지 풀이 사례 - 메모리 포렌식 분석 시리즈
2016년 12월 19일 출간
- eBook 상품 정보
- 파일 정보 ePUB (5.15MB)
- ISBN 9788994797335
- 쪽수 28쪽
- 지원기기 교보eBook App, PC e서재, 리더기, 웹뷰어
-
교보eBook App
듣기(TTS) 가능
TTS 란?텍스트를 음성으로 읽어주는 기술입니다.
- 전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를 읽을 수 있습니다.
- 이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.
이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.
작품소개
이 상품이 속한 분야
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론
이 책에서 다룬 문제에 대한 풀이 사례는 다음과 같다.
1. 이 시스템에서 동작하는 악성(rogue) 프로세스는 iexplorer.exe(PID: 796)이다. 이 프로세스는 Local System 권한으로 작동하고 있으며, 내부에는 irykmmww.dll과 irykmmww.d1l이라는 모듈들을 임포트하고 있다. 해당 dll들은 바이러스 토탈 서비스의 분석 결과 악성코드임이 확인된 바 있다.
2. 이 시스템에 저장되어 있는 악성 파일은 \WINDOWS\system32\drivers\irykmmww.sys이며, 그와 관련한 irykmmww.dll 등도 파일의 형태로 덤프가 가능하므로 악성 파일인 것으로 간주할 수 있다.
3. 위에서 언급한 irykmmww.sys는 윈도우의 커널 드라이버 형태로 상주하고 있기 때문에 이 시스템의 모든 사용자는 공격자에게 무방비로 노출되어 있다. 재부팅시에도 자동으로 실행될 가능성이 높다.
4. 은닉을 위해서 iexplore.exe라는 MS 인터넷 익스플로러 정식 제품의 프로세스를 사용함으로써 쉽사리 의심하지 못하도록 하였고, dll 파일 확장자를 d1l 이라고 표기하는 눈속임 수법을 사용하였다.
5. 이 악성코드는 내부의 192.168.157.10:1053과 외부의 218.85.133.23:89에 연결을 수립하고 있다. IP 주소인 218.85.133.89를 호스팅하고 있는 곳을 whois에서 검색해보면 CHINANET Fujian Network이며, 중국 푸젠성 남동부의 샤먼(xiamen)이라는 항만 도시에 위치함을 알 수 있다. 그러나 실제의 침해사고인 경우에는 이러한 IP 주소가 프록시 서버를 경유하였거나, 단순 데이터 센터 역할만으로 이용하고 실제 공격자는 또 다른 곳에 잠적하였을 가능성도 높다. 이러한 이유로 디지털 포렌식 수사에서는 초국경성을 갖는 범죄가 비교적 자주 발생하여 국제 공조가 필요한 부분이 많아 난항을 겪기도 한다.
작가정보
저자 박재유는 공군 정보통신 장교로 복무하며 보안에 입문하였다. 전역 후 BOB 4기 과정을 수료하였으며, 현재 한국과학기술원(KAIST) 소프트웨어대학원에 재학 중이다. 보안프로젝트의 연구원으로 활동하며 디지털 포렌식과 침해 사고 대응 분야를 연구하고 있다. 소프트웨어 취약점 진단과 악성코드 분석에도 관심이 많다. 정보보안기사, 디지털 포렌식 전문가 자격을 소지하고 있다.
감수자 조정원은 보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 『비박스를 활용한 웹 모의해킹 완벽실습』, 『버프스위트 활용과 웹 모의해킹』, 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』, 『IT엔지니어로 사는법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』, 『칼리리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
이 상품의 총서
Klover리뷰 (0)
- - e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- - 리워드는 1,000원 이상 eBook, 오디오북, 동영상에 한해 다운로드 완료 후 리뷰 작성 시 익일 제공됩니다. (5,000원 이상 상품으로 변경 예정, 2024년 9월 30일부터 적용)
- - 리워드는 한 상품에 최초 1회만 제공됩니다.
- - sam 이용권 구매 상품 / 선물받은 eBook은 리워드 대상에서 제외됩니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오 발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
구매 후 리뷰 작성 시, e교환권 100원 적립
문장수집
- 구매 후 90일 이내에 문장 수집 등록 시 e교환권 100원을 적립해 드립니다.
- e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- 리워드는 1,000원 이상 eBook에 한해 다운로드 완료 후 문장수집 등록 시 제공됩니다. (5,000원 이상 eBook으로 변경 예정, 2024년 9월 30일부터 적용)
- 리워드는 한 상품에 최초 1회만 제공됩니다.
- sam 이용권 구매 상품 / 선물받은 eBook / 오디오북·동영상 상품/주문취소/환불 시 리워드 대상에서 제외됩니다.
구매 후 문장수집 작성 시, e교환권 100원 적립
신규가입 혜택 지급이 완료 되었습니다.
바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!