책 소개
요약
쿡쿠 샌드박스는 오픈소스로 제작된 악성코드 자동 분석 시스템으로 끊임 없이 새로운 기능을 도입하고 새로운 악성코드 분석의 트렌드를 선도한다. 많은 기업과 연구가들이 쿡쿠 샌드박스를 구축하고 추가 개발을 통해 확장하는 흐름을 가진다. 이 책은 쿡쿠 샌드박스를 구축하고, 이 도구에서 지원하는 다양한 오픈소스 도구들을 추가 구축하는 방법을 다룬다. 그 외에 구축하면서 함께 알아두면 좋을 기술과 저자가 쿡쿠 샌드박스를 연구하면서 경험한 팁을 공유한다. 대표적인 팁으로 악성코드 샘플을 무료로 수집할 수 있는 곳, 위협 인텔리전스와 접목할 수 있는 요소 등을 소개한다.
이 책의 구성
제 1편, ‘쿡쿠 샌드박스 개요 및 인프라 구성’에서는 쿡쿠 샌드박스와 주변 상태계에 대해 이야기한다. 쿡쿠 샌드박스를 구축하기 위해 하이퍼바이저와 운영체제를 설치한다.
제 2편, ‘쿡쿠 샌드박스 기본 구축 및 운영’에서는 기본으로 구축한 윈도우 운영체제에서 악성코드를 분석할 수 있는 기초적인 수준의 쿡쿠 샌드박스를 이야기한다. 악성코드를 수집하는 방법과 수집한 쿡쿠 샌드박스에 악성코드 분석을 요청하고, 분석이 끝난 후 볼 수 있는 분석 결과 정보를 함께 살펴본다.
제 3편, ‘쿡쿠 샌드박스 확장 운영’에서 다양한 도구를 구축하고 쿡쿠 샌드박스와 연동한다.
제 4편, ‘악성코드 분석 유형 확장’에서는 윈도우에서 기본으로 실행되는 악성코드뿐만 아니라 다른 유형의 악성코드를 분석하기 위해 응용프로그램을 샌드박스에 설치하고 해당 응용프로그램으로 실행되는 악성코드를 분석하도록 확장하는 방법을 다룬다.
이 책의 대상 독자
■ 정보보안을 공부하고 싶은 독자
■ 정보보안 관제 업무를 수행하는 독자
■ 정보보안 침해사고대응을 수행하는 독자
■ 정보보안 인텔리전스 분야를 연구하는 독자
■ 악성코드 분석 업무를 수행하는 독자
■ 기업 보안을 담당하는 독자
목차
목차
- 1편. 쿡쿠 샌드박스 개요 및 인프라 구성
- 1장. 쿡쿠 샌드박스 개요
- 제 1절 악성코드와 악성코드 분석
- 제 2절 인텔리전스와 악성코드
- 바이러스토탈
- urlscan.io
- Malwr.com
- ThreatMiner.org
- 말테고
- 제 3절 오픈소스와 라이선스
- 제 4절 샌드박스와 하이퍼바이저
- 2장. VM웨어 워크스테이션 설치 및 가상머신 생성
- 제 1절 가상화 기술 확인 및 설정
- 제 2절 VM웨어 워크스테이션 다운로드 및 설치
- 제 3절 VM웨어 워크스테이션 설정
- 사설 네트워크 IP 대역 설정
- 가상머신 저장 위치 설정
- 제 4절 가상머신 생성
- 3장. 운영체제 설치
- 제 1절 우분투 16.04 LTS AMD64 Desktop 설치 및 설정
- 제 2절 우분투 데스크톱 네트워크 설정
- 제 3절 우분투 업데이트 비활성화
- 제 4절 우분투 데스크톱 VMware tools 설치
- 2편. 쿡쿠 샌드박스 기본 구축 및 운영
- 4장. 쿡쿠 샌드박스 코어 설치
- 제 1절 기본 구성 패키지 및 C 라이브러리 설치
- 제 2절 쿡쿠 샌드박스 코어 설치
- 제 3절 샌드박스 구성
- 가상머신 다운로드 및 가져오기
- 샌드박스 구성
- 제 4절 데이터베이스 구성
- 스케줄링 데이터베이스 구성
- 웹 서비스 데이터베이스 구성
- 제 5절 기본 운영을 위한 쿡쿠 샌드박스 설정
- cuckoo.conf 설정
- virtualbox.conf 설정
- reporting.conf 설정
- 제 6절 쿡쿠 샌드박스 엔진 및 웹 서비스 실행
- 5장. 쿡쿠 샌드박스 기본 운영
- 제 1절 웹 서비스 운영의 이해
- 제 2절 악성코드 수집 방법
- 제 3절 악성코드 분석 요청 방식
- 좌측 제어 창
- 가운데 제어 창
- 우측 제어 창
- 제 4절 악성코드 분석 요청에 따른 상태 변화
- 6장. 악성코드 분석 결과
- 제 1절 요약 정보
- 파일 영역
- 점수 영역
- 동작 정보 영역
- 제 2절 정적 분석 정보
- 정적 분석
- 문자열
- 안티바이러스
- IRMA
- 제 3절 흔적 추출 정보
- 제 4절 행위 분석 정보
- 제 5절 네트워크 분석 정보
- 호스트
- DNS
- TCP
- UDP
- HTTP(S
- ICMP
- IRC
- 수리카타와 스노트
- 제 6절 드롭 파일 정보
- 제 7절 드롭 버퍼 정보
- 제 8절 프로세스 메모리 정보
- 제 9절 비교 분석 정보
- 제 10절 분석 결과 다운로드
- 제 11절 기타 기능
- 재 분석
- 옵션
- 피드백
- 사이드바 잠금
- 제 1절 요약 정보
- 7장. 쿡쿠 샌드박스 응용 운영
- 제 1절 쿡쿠 코어의 기능
- 제 2절 Nginx, uWSGI 서버 구축
- 제 3절 쿡쿠 웹 서비스 운영을 위한 web
- Nginx와 uWSGI를 이용한 WEB 서버 운영
- 제 4절 편리한 원격 제어를 위한 api
- Nginx와 uWSGI를 이용한 API 서버 운영
- 분석 요청 관련 쿡쿠 API
- 분석 결과 관련 쿡쿠 API
- 운영 관련 쿡쿠 API
- 제 5절 분석 데이터 초기화를 위한 clean
- 제 6절 쿡쿠 확장을 위한 community
- 제 7절 설정 초기화를 위한 init
- 제 8절 샌드박스 설정 제어를 위한 machine
- 가상머신 복제
- 두 번째 샌드박스 설정
- 새로운 샌드박스 등록 및 운영
- 제 9절 보고서 처리를 위한 process
- 악성코드 분석과 보고서 생성 프로세스 분리
- 제 10절 터미널에서 악성코드 분석 요청을 위한 submit
- 제 11절 분산처리 시스템을 위한 distributed
- 제 12절 네트워크 라우팅을 위한 rooter
- 3편. 쿡쿠 샌드박스 확장 운영
- 8장. supervisor를 이용한 쿡쿠 샌드박스 서비스 관리 구성
- 9장. 일래스틱서치 데이터베이스를 활용한 검색 기능 확장
- 제 1절 일래스틱서치 설치
- 제 2절 일래스틱서치와 쿡쿠 샌드박스 연동
- 10장. 볼라틸리티를 이용한 메모리 분석
- 제 1절 볼라틸리티 설치
- 제 2절 볼라틸리티와 쿡쿠 샌드박스 연동
- 제 3절 쿡쿠 샌드박스의 메모리 분석
- 제 4절 베이스라인 분석
- 11장. 스노트를 이용한 네트워크 패턴 탐지
- 제 1절 스노트 설치
- 제 2절 스노트와 쿡쿠 샌드박스 연동
- 12장. 수리카타를 이용한 네트워크 패턴 탐지
- 제 1절 수리카타 설치
- 제 2절 수리카타와 쿡쿠 샌드박스 연동
- 13장. 몰록을 이용한 네트워크 포렌식
- 제 1절 몰록 설치
- 제 2절 몰록과 쿡쿠 샌드박스 연동
- 14장. 위협 정보 공유 플랫폼 MISP와 연동
- 제 1절 MISP 구축
- 제 2절 MISP와 쿡쿠 샌드박스 연동
- 15장. 야라를 이용한 정적 패턴 제작
- 제 1절 야라 패턴 제작
- 제 1절 야라 패턴 제작
- 16장. 파이썬 프로그래밍을 이용한 쿡쿠 샌드박스의 동적 패턴 제작
- 17장. 네트워크 라우팅 구축
- 제 1절 기본 라우팅
- 제 2절 inetsim 설치 및 쿡쿠 샌드박스 연동
- inetsim 설치 및 설정
- inetsim과 쿡쿠 샌드박스 연동
- 제 3절 토르 설치 및 쿡쿠 샌드박스 연동
- 토르 설치
- 토르와 쿡쿠 샌드박스 연동
- 제 4절 VPN 설치 및 쿡쿠 샌드박스 연동
- 4편. 악성코드 분석 유형 확장 및 쿡쿠 샌드박스 운영 팁
- 18장. 응용프로그램 추가를 통한 확장
- 제 1절 파이어폭스를 이용한 URL 분석
- 제 2절 JAR 파일 분석
- 제 3절 PDF 파일 분석
- 제 4절 기타 문서형 악성코드 구축 팁
- 제 5절 플래시 플레이어 설치
- 19장. 쿡쿠 샌드박스 운영 팁
- 제 1절 우분투 운영체제의 데몬 관리
- 제 2절 쿡쿠 데몬 관리
- 제 3절 NginX와 uWSGI 운영에서 대용량 파일 처리 문제
- 제 4절 분석 결과 대용량 데이터 처리
- 제 5절 일래스틱서치 필드 한계치 설정
도서 오류 신고
정오표
정오표
[p.149]
[p.152]
코드 4-48 몽고DB 데이터베이스 및 사용자 생성 (결과 부분)
몽고DB 계정, 패스워드, 권한 그리고 데이터베이스를 생성하는 명령에 따른 결과가 잘못 표기됨
-> '정오표 더 보기'를 참고해주세요.
[p.164]
cuckoo web -help
->
cuckoo web --help
[p.178 : 악성코드 샘플 다운로드 경로]
폰트로 인해 마지막이 숫자 0으로 보이는 문제