[디지털 포렌식 전문가를 위한]
실전 윈도우 악성코드 포렌식

원서명Malware Forensics Field Guide for Windows Systems: Digital Forensics Field Guides (ISBN 9781597494724)
지은이카메론 말린 (Cameron H. Malin), 오언 케이시 (Eoghan Casey), 제임스 아퀼리나 (James M. Aquilina)
옮긴이서만기, 장윤하

ISBN : 9788960776623
40,000원
2015년 01월 30일 펴냄 (절판)
페이퍼백 | 620쪽 | 188*250mm
시리즈 : 디지털 포렌식

판매처

현재 이 도서는 구매할 수 없습니다.

책 소개
저자/역자 소개
목차
도서 오류 신고

책 소개

요약

오늘날 포렌식 수사관이나 분석가는 웜, 봇넷, 루트킷, 트로이목마와 같은 악성코드를 분석하고 감염 원인을 밝히는 역량이 더욱 요구되고 있다. 다년간 실제 수사 사건을 처리한 정보 보안 전문가들이 쓴 이 책에는 윈도우 운영체제에서 발생하는 침해사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 분석 팁 등이 들어있다.

이 책에서 다루는 내용

■ 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와 작업 목록
■ 윈도우 시스템에서 활성 데이터를 수집하고 조사하는 방법
■ 의심스러운 파일을 프로파일링하기 위한 구체적인 기술
■ 현장에서 종종 접하게 되는 법적 고려사항
■ 현장에서 바로 활용할 수 있는 템플릿과 빠른 가이드
■ 전용 웹사이트(www.malwarefieldguide.com)에서 제공하는 최신 도구와 리소스

이 책의 대상 독자

컴퓨터 포렌식 수사관, 분석가를 비롯한 다양한 전문가가 참고할 수 있다.

이 책의 구성

이 책에서는 악성코드 사고를 다루는 전체적인 방법론을 다음과 같이 5단계로 나눈다.

1단계: 포렌식을 대비한 휘발성 데이터 보존과 조사 (1장)
2단계: 메모리 조사 (2장)
3단계: 포렌식 분석: 하드디스크 조사 (3장)
4단계: 알려지지 않은 파일의 프로파일링 (5장)
5단계: 악성코드 샘플의 동적 분석과 정적 분석 (6장)

각 단계마다 형식화된 방법론과 목표를 강조함으로써, 디지털 조사관이 악성코드 감염을 둘러싼 이벤트 상황을 생생하게 재구성하고 악성코드 자체에 대해 상세하게 설명한다. 다만, 책에서 제시한 방법론이 맹목적으로 따라야만 하는 점검표 역할을 한다는 의미는 아니다. 디지털 조사관은 관찰 대상에 대해 항상 비판적인 사고를 가져야 하며, 그에 맞춰 조사 방향을 조정할 수 있어야 한다.

저자/역자 소개

저자 서문

2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적이고 불법적인 목적으로 개발된 프로그램의 수와 복잡도가 상당히 증가했다. 2011년에 시만텍은 인터넷 보안 위협 보고서를 통해 그 이전 연도에만 2억 8600만 개의 새로운 위협이 발생했다고 발표했다. 에프시큐어(F-Secure)를 비롯한 기타 백신 업체도 2011년에 모바일 장치와 스카다(SCADA) 시스템에 대한 공격이 증가할 것으로 예측했다

과거의 악성코드는 기능성과 공격 벡터를 기반으로 깔끔하게 분류(예, 바이러스, 웜, 트로이목마)할 수 있었지만 최근의 악성코드는 다양한 기능과 전파 수단이 혼합돼 다면적이고 모듈화된 형태로 나타나고 있다. 악성코드의 대부분은 더 조직적이고 전문적인 컴퓨터 범죄를 지원하려고 개발되는데, 실제로 범죄자들은 컴퓨터를 제어하거나 개인정보, 기밀정보, 특허를 탈취해 이익을 얻기 위해 이러한 악성코드를 광범위하게 사용하고 있다. 오퍼레이션 트라이던트 브리치(Operation Trident Breach) 사건에서는 수백 명의 개인이 제우스(ZeuS)와 같은 악성코드를 사용해 디지털 절도 행위를 벌이다가 체포되기도 했다. 오늘날 거대한 회색 시장은 악성코드가 백신 프로그램의 탐지를 회피하고 전문적으로 개발될 수 있게 도와주고 있으며, 사이버 범죄 그룹은 이를 유용하고 가치 있게 사용하고 있다.

컴퓨터를 통해 발전소나 기타 중요한 기반 시설을 방해하도록 개발된 악성코드에 대한 우려가 점점 커지고 있는데, 이는 사이버 전쟁으로 불리기도 한다. 2010년에 등장한 스턱스넷(StuxNet)은 그 강력함을 입증하는 대표적 사례다. 스턱스넷은 공격자가 대상 시스템에 연결된 프로그램 가능한(programmable) 논리 제어기에 접근해 핵 원자로와 같은 산업 시스템의 동작을 변경할 수 있는 정교한 프로그램이다. 이러한 유형의 공격은 발전소나 사회 핵심 기반 시설을 망가트려서 지역 사람들에게 잠재적으로 큰 피해를 입힐 수 있다.

외국 정부는 산업 및 군사 간첩을 지원하는 맞춤형 악성코드를 개발하려고 고도로 숙련된 해커팀에 자금을 지원하고 있다. 구글 시스템에 침입하는 일이 이런 공격자들의 고도화되고 지속적인 능력을 보여준다. 이처럼 잘 조직된 공격의 유형은 ‘지능형 지속 위협(APT)’으로 알려져 있는데, 침입 대상 조직의 네트워크에 오랜 기간 잠복해 정보를 유출하거나 첩보를 수집하는 등의 형태로 나타나며 일반적으로 산업 스파이 행위와 관련돼 있다. 이렇듯 스파이나 범죄 행위를 저지르고 사이버 공격을 수행하는 악성코드가 증가함에 따라 디지털 조사관들은 그동안 백신 업체나 보안 전문가의 고유 영역으로 간주됐던 악성코드 분석 기법과 도구에 더욱 주목할 수밖에 없게 됐다.

이 책은 컴퓨터 시스템을 대상으로 증가하고 있는 공격을 방지하는 데 필요한 핵심 지식과 기술, 도구를 실무자들에게 제공하려고 작성되었다. 또한, 디지털 조사관이 컴퓨터 시스템에서 악성코드를 발견해 악성코드의 기능과 목적을 알아낸 후, 악성코드가 대상 시스템에서 어떤 영향을 미쳤는지를 살펴보는 데 도움이 되도록 작성됐다. 포렌식 관점에서의 악성코드 분석을 더 고도화시키기 위한 구체적인 방법론을 제공하고, 법적 고려사항에 대해 알아봄으로써 신뢰할 수 있고 반복 가능한 방법으로 분석하고 철저히 문서화해 분석 결과가 법정에서 인정받을 수 있게 한다.

실질적인 사례 연구를 사용해 기술과 관련 도구를 입증하기 위해 이 책의 저자진이 저술한 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)과는 달리 이 책은 전략적이고 실용적인 면을 모두 다루고 실전에서 사용할 수 있도록 간결하게 구조화된 형식을 취하고 있다. 아울러 필요한 요소와 실전 혹은 연구 환경을 위한 온라인 자원에 대해서는 아이콘을 활용해 쉽게 참조할 수 있게 했다.

저자 소개

카메론 말린 (Cameron H. Malin)

캘리포니아 주 로스앤젤레스의 사이버 범죄 수사 팀에 배정된 미 연방수사국 FBI의 특수 감독 요원으로, 컴퓨터 침입과 악성코드 사고 조사를 담당하고 있다. FBI에 근무하기 전에는 플로리다 주의 마이애미에서 검사보(ASA)와 미연방특별검사보(SAUSA)를 역임하면서 컴퓨터 범죄 기소를 담당했다. 또한 검사보로 재직하는 동안 조지워싱턴 대학교의 컴퓨터 사기에 관한 석사 과정 프로그램의 조교수로도 활동했다.

오언 케이시 (Eoghan Casey)

스트로츠 프리드버그(Stroz Friedberg)의 디지털 포렌식 수사 부서장이며, 국제적인 범위의 네트워크 침입 등의 광범위한 조사 분야에서 디지털 증거를 분석하고 보안 침해에 맞서는, 사고 대응과 디지털 포렌식 분석가다. 캘리포니아 버클리 대학교에서 기계 공학 학사, 뉴욕 주립대에서 교육 커뮤니케이션 기술 분야 석사 학위를 취득했다.

제임스 아퀼리나 (James M. Aquilina)

디지털 컴퓨터 포렌식, 전자 자료 보존/분석/제작, 컴퓨터 사기와 오용 대응, 컴퓨터 보안에 특화된 기술 서비스와 컨설팅 회사인 스트로츠 프리드버그의 전무이사 겸 부 법률고문으로 일반 관리와 법률 업무를 취급하고 로스앤젤레스, 샌프란시스코, 시애틀 사무소를 책임지고 있다. 조지타운 대학교에서 수석으로 학사 졸업을 하고, 캘리포니아 대학교의 버클리 로스쿨에서 법학석사(Juris Doctor)를 받았으며, 리차드 에스카인(Richard Erskine) 학술 회원 소속으로 캘리포니아 법률 검토의 기사 편집가와 집행 위원회 회원을 역임했다.

저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)을 공동 저술한 바 있다.

역자 서문

과거에는 네트워크 공격이나 취약점 익스플로잇, 잘못된 시스템 구성 등 침해사고의 원인이 비교적 다양했으나, 최근에는 대부분의 침해사고가 악성코드 감염에서부터 시작되고 있다. 그만큼 악성코드의 기능과 목적도 다양해졌으며, 이에 따라 악성코드 포렌식 방법론에 대한 연구가 활발해지고 선택할 수 있는 분석 도구의 종류도 늘어나게 되었다.

이러한 환경에서 실제 포렌식 분석을 진행하다 보면 다양한 문제에 직면하게 된다. 분석 절차가 누락되거나 중요한 조사 관점을 놓치기도 하고, 선택한 도구가 환경에 적용되지 않아 대체할 수 있는 분석 도구에 대한 정보가 필요하기도 하며, 고려해야 할 법적 문제도 존재한다. 이는 대부분의 분석가들이 겪는 문제로, 이를 해결하려면 분석 현장에서 바로 참고할 수 있는 활용서가 필요했다.

이 책은 윈도우 환경에서 악성코드 포렌식을 수행하는 데 필요한 메모리, 파일 시스템, 네트워크 및 리버스 엔지니어링에 관한 기반 지식을 제공할 뿐만 아니라, 이러한 기술들을 활용해 효율적으로 문제를 해결할 수 있게 지침을 제시한다. 메타 데이터를 포함한 주요 데이터의 활용 방안과, 다양한 도구에 대한 실제 활용 사례를 소개하고 있는 것도 이 책의 특징 중 하나다. 모든 악성코드 포렌식 분석 과정에 필요한 내용을 점검표 형식으로 담고 있어, 실무에 유용하게 활용될 수 있을 것으로 기대된다.

역자 소개

서만기

대구대학교 전산공학과를 졸업하고, 국방부 및 사이버 수사대를 포함한 다수의 국/공기업과 대학교에서 악성코드 분석 및 익스플로잇 개발 분야 강사로 활동했으며, 포털 업체의 소프트웨어 취약점 분석 업무를 수행했다. 현재 안랩 HackShield에서 게임 보안 업무를 맡고 있다.

장윤하

KAIST 산업공학과에서 학사과정을 마쳤으며, 2011년부터 2013년까지 안랩 CERT팀에서 침해 사고 분석 업무를 담당했고, 현재는 안랩 MSS 기술팀에서 차세대 보안관제 모델을 기획하고 있다. 옮긴 책으로 『APT, 지능형 지속 위협』(2013), 『네트워크 포렌식』(에이콘출판, 2014)이 있다.

1장. 악성코드 사고 대응
__소개
____로컬 수집 vs. 원격 수집
__휘발성 데이터 수집 방법론
____휘발성 데이터 보존
____라이브 윈도우 시스템에서 물리 메모리 획득
____로컬에서 물리 메모리 획득
____GUI 기반 메모리 덤프 도구
____원격에서 물리 메모리 획득
____대상 시스템에 관한 정보 수집
____시스템에 로그인한 사용자 식별
__프로세스 정보 수집
____프로세스 이름과 프로세스 식별자
____프로세스와 실행 프로그램 매핑: 실행 파일의 전체 시스템 경로
____프로세스와 사용자를 매핑
____자식 프로세스
____동작 중인 프로세스에 의해 로드된 개체의 의존성
__열린 포트와 동작 중인 프로세스/프로그램과의 연관성
____서비스와 드라이버 식별
____동작 중인 서비스 조사
____설치된 드라이버 조사
____열린 파일 확인
____로컬에서 열린 파일 확인
____원격에서 열린 파일 확인
____명령 히스토리 수집
____공유 리소스 식별
____예약 작업 확인
____클립보드 내용 수집
__라이브 윈도우 시스템에서 비휘발성 데이터를 수집
____라이브 윈도우 시스템에서 저장 매체를 포렌식 목적으로 복제
____라이브 윈도우 시스템에서 선별한 데이터의 포렌식 보존
____보안 구성 평가
____신뢰된 호스트 간의 관계 평가
____프리페치 파일 조사
____자동 시작 위치 조사
____이벤트 로그 수집
____로그온 이벤트와 로그오프 이벤트
____사용자 계정과 그룹 정책 정보 검토
____파일시스템 조사
____레지스트리 내용 덤프와 분석
____원격 레지스트리 분석
____웹 브라우저 활동 조사
____쿠키 파일 조사
____보호된 저장소 조사
____라이브 윈도우 시스템에서 악성코드 흔적의 발견과 추출
____의심 파일 추출
____F-Response로 하는 의심 파일 추출
__결론
__주의할점
__침해사고 대응 도구 모음
__원격 수집 도구
__휘발성 데이터 수집 및 분석 도구
__물리 메모리 획득
__대상 시스템 정보 수집
__시스템에 로그인한 사용자 식별
__네트워크 연결과 활동
__프로세스 분석
__핸들
____로드된 DLL
__열린 포트와 동작 중인 프로세스/프로그램과의 연관성
____명령 행 인수
__서비스
__드라이버
__열린 파일
__예약된 작업 확인
__클립보드 내용
__비휘발성 데이터 수집 및 분석 도구
__시스템 보안 설정
__프리페치 파일 분석
__자동 시작 위치
__이벤트 로그
__그룹 정책
__파일시스템: 숨긴 파일과 대체 데이터 스트림
____레지스트리 내용의 덤프와 분석
__웹 히스토리
__악성코드 추출
__참고 문헌
__법학/RFC/기술 명세서
2장. 메모리 포렌식
__소개
____조사 시 고려 사항
__메모리 포렌식 개요
____고전적 메모리 분석 기법
__윈도우 메모리 포렌식 도구의 동작 원리
__윈도우 메모리 포렌식 도구
____프로세스와 스레드
____모듈과 라이브러리
____열린 파일과 소켓
____다양한 데이터 구조체
__윈도우 프로세스 메모리 덤프
____실행 파일 복구
____프로세스 메모리 복구
____라이브 시스템에서 프로세스 메모리 추출
__윈도우 프로세스 메모리 해부
__결론
__주의할 점
__메모리 포렌식: 현장 노트
__참고 문헌
__법학/RFC/기술 명세서
3장. 사후 포렌식
__소개
__윈도우 포렌식 분석 개요
__윈도우 시스템에서 악성코드 식별 및 추출
____알려진 악성코드 검색
____설치된 프로그램 조사
____프리페치 파일 조사
____실행파일 점검
____서비스, 드라이버, 자동 실행 위치, 예약된 작업 점검
____로그 조사
____사용자 계정과 로그인 활동 검토
__윈도우 파일 시스템 조사
__윈도우 레지스트리 조사
____복원 지점
__키워드 검색
__감염된 윈도우 시스템의 포렌식적 재구성
__윈도우 시스템에서 악성코드를 식별하고 추출하는 고급 기법
__결론
__주의할 점
__윈도우 시스템 조사: 현장 노트
__윈도우 분석 도구 상자
__포렌식 사본 마운팅
__윈도우 시스템의 포렌식 조사
__타임라인 생성
__윈도우 시스템 내의 일반적인 정보 출처에 대한 포렌식 조사
__참고 문헌
4장. 법적 고려사항
__다루고자 하는 이슈
__일반적인 고려사항
____법적 환경
__조사 권한 부여 기관
____관할권에 따른 권한
____사적 권한
____공공/법령에 의한 권한
__권한에 대한 법령적 제한
____저장된 데이터
____실시간 데이터
____보호된 데이터
__데이터 수집용 도구
____업무용
____수사용
____수사/해킹 겸용
__국경 간 데이터 수집
____개인 또는 민간 조사에 있어서의 업무현장 데이터
____정부 또는 범죄 조사에 있어서의 업무현장 데이터
__사법당국의 개입
____피해자가 사법당국의 개입을 꺼리는 이유
____사법당국의 관점
____사법당국과 피해자 사이에서 중립 지키기
__증거능력 향상
____문서화
____보존
____연계 보관
__각 주의 사립탐정 관련 법령과 정보유출 고지
__국제 기구 자료
____국경 간 수사 관련 자료
__연방 법률: 디지털 조사관이 사용할 증거
____관련성
____입증
____최적 증거
____전문가 증언
____변호사 비밀유지 의무 포기의 제한
5장. 파일 식별과 프로파일링
__소개
__파일 프로파일링 절차에 대한 개요
____의심스러운 파일 프로파일링
____명령 행 인터페이스 MD5 도구
____GUI MD5 도구
__파일 유사도 인덱싱
__파일 시각화
____파일 시그니처 식별 및 분류
____파일 형식
____파일 시그니처 식별 및 분류 도구
____안티 바이러스 시그니처
____웹기반 악성코드 스캐닝 서비스
____내장 아티팩트 추출: 스트링, 심볼릭 정보, 그리고 파일 메타데이터
____문자열
____파일 의존성 검사: 동적, 정적 링크
____심볼릭과 디버그 정보
____내장된 파일 메타데이터
__파일 난독화: 패킹과 암호화 식별
____패커
____크립터
____바인더, 조이너, 래퍼
____내장 아티팩트를 추출해 재검토
____윈도우 실행파일 형식
__의심스러운 문서 파일 프로파일링
____PDF 파일 프로파일링
____PDF 파일 형식
____PDF 프로파일링 프로세스: CLI 도구
____PDF 프로파일링: GUI 도구
____마이크로소프트 오피스 파일 프로파일링
____마이크로소프트 오피스 문서: 워드, 파워포인트, 엑셀
____마이크로소프트 오피스 문서: 파일 형식
____마이크로소프트 오피스 문서: 취약점과 익스플로잇
____마이크로소프트 오피스 문서 프로파일링 절차
____OffceMalScanner를 이용한 심층 프로파일링
____MS CHM(컴파일된 HTML 도움말 파일) 프로파일링
____CHM 프로파일링 프로세스
__결론
__주의할 점
__참고문헌
__기술 명세
6장. 악성코드 표본 분석
__소개
__목표
__악성코드 분석 지침
__분석 환경 기준 수립
____시스템 ‘스냅샷’
____호스트 무결성 모니터
____설치 모니터
__실행 전 준비 사항: 시스템과 네트워크 모니터링
____시스템 및 네트워크를 대상으로 한 패시브 모니터링
____시스템 및 네트워크를 대상으로 한 액티브 모니터링
__실행 아티팩트 캡처: 디지털 흔적과 추적 증거
____흔적 증거
____추적 증거
____디지털 흔적 증거
____디지털 추적 증거
__악성코드 표본 실행
__실행 궤적 분석: 네트워크, 프로세스, API, 파일 시스템 그리고 레지스트리 활동 관찰
____네트워크 활동: 네트워크 궤적, 흔적, 그리고 추적 증거
____환경 에뮬레이션 및 수정: 네트워크 궤적 재구성
____네트워크 궤적 재구성: 연쇄(chaining)
____네트워크 흔적 및 추적 증거
____NetCat 리스너 사용
____프로세스 활동 조사
____프로세스 감시: API 호출 모니터링
____피핑 톰(Peeping Tom): 윈도우 스파잉
____파일 시스템 활동 조사
____레지스트리 활동 조사
__자동화된 악성코드 분석 프레임워크
__온라인 악성코드 분석 샌드박스
__난독화 해제
____사용자 지정 언패킹 도구
____의심스러운 메모리 내 프로세스를 덤프
____OEP 위치를 확인하고 OllyDump로 추출하기
____임포트 테이블 재구성
__내장 아티팩트 재검토
____디스어셈블러를 통한 의심스러운 프로그램 조사
____고급PE 분석: PE 리소스 및 의존성 조사
__악성코드 표본 파일과의 상호작용 및 조작: 기능과 목적에 대한 연구 및 검증
____API 후킹
____트리거 이벤트 구동
____클라이언트 응용 프로그램
__이벤트 재구성과 아티팩트 재조사: 실행 후 데이터 분석
____패시브 모니터링 아티팩트
____액티브 모니터링 아티팩트
____캡처된 네트워크 트래픽 분석
____API 호출 분석
____물리 메모리 아티팩트
__디지털 바이러스학: 악성코드의 분류 및 계통 발생론을 통한 고급 프로파일링
____CTPH
____텍스트 유사도와 바이너리 유사도
____함수 흐름도
____프로세스 메모리 궤적 분석
____시각화
____행위에 관한 프로파일링 및 분류
__결론
__주의할 점

도서 오류 신고

이름

e-mail

도서명

신고내용

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안

개인정보수집ㆍ이용에 동의합니다.

[디지털 포렌식 전문가를 위한]실전 윈도우 악성코드 포렌식

판매처