소장자료검색

책소개

이 책은 침해사고 대응 실무자 입장에서 악성코드 분석을 할 때 파이썬 오픈소스 도구를 비롯한 공개 도구들을 활용하는 다양한 방법을 설명한다. 악성코드 분석은 악성코드의 특징을 파악하는 것이 중요하며, 빠르게 원인을 분석해 추가적인 피해가 발생하지 않게 하는 데에 그 의의가 있다. 악성코드 하나하나 대응을 하는 것보다는 온라인, 오프라인 서비스 및 도구를 활용해 우선 방어구축을 해놓는 것이 중요하다. 온라인 서비스의 빠른 분석 데이터의 활용, 비공개적으로 분석을 해야 하는 상황 및 주요 대응 악성코드 데이터베이스화가 필요하다. 이 책에서는 다양한 오픈소스 도구들을 다루면서 실무에서 활용할 수 있는 방안들을 제시한다.

목차

1장 오픈소스 개요와 파이썬 환경
__1.1 오픈소스의 이해
__1.2 파이썬의 개요
__1.3 파이썬 환경 구성 및 배포 방법
____1.3.1 윈도우 환경 구성
____1.3.2 이클립스에 pydev 환경 구성하기
____1.3.3 pyinstaller를 이용한 프로그램 배포
__1.4 깃허브 사이트에서 오픈소스 도구 다운로드하기
__1.5 파이썬 모듈 설치 방법
__1.6 정리

2장 peframe을 통해 알아보는 실행 파일 구조
__2.1 PE 파일 포맷 이해
____2.1.1 DOS Header 구조체
____2.1.2 DOS Stub 프로그램
____2.1.3 IMAGE_NT_HEADER 구조체
__2.2 peframe 살펴보기
____2.2.1 IMPORT 모듈
____2.2.2 사전 작업 부분
____2.2.3 main 함수 부분 분석
____2.2.4 peframe을 구성하는 함수들
__2.3 악성코드 특성 인자에 대한 이해
____2.3.1 안티바이러스 결과
____2.3.2 해시 값
____2.3.3 패커
____2.3.4 섹션명과 엔트로피
____2.3.5 API
____2.3.6 문자열
____2.3.7 PE 메타데이터
__2.4 정리

3장 악성코드 분석 서비스 이해
__3.1 분석 환경에 대한 이해
____3.1.1 자동 분석 서비스 종류
____3.1.2 악성코드 분석 라이브 CD 소개
____3.1.3 악성코드 수집은 어디서 하는가
__3.2 온라인 분석 서비스 이해
____3.2.1 바이러스토탈 서비스에 대한 소개
____3.2.2 바이러스토탈 서비스 API 활용 예제
____3.2.3 URLquery를 이용한 악성코드 감염 사이트 확인
____3.2.4 hybrid-analysis를 이용한 악성코드 분석
__3.3 정리

4장 쿠쿠 샌드박스 활용법
__4.1 쿠쿠 샌드박스란?
__4.2 쿠쿠 샌드박스의 특징
__4.3 쿠쿠 샌드박스 설치
____4.3.1 우분투 14.04 LTS 설치
____4.3.2 게스트 확장 설치
____4.3.3 저장소 설정
____4.3.4 보조 패키지 및 라이브러리 설치
____4.3.5 필수 패키지 및 라이브러리 설치
____4.3.6 tcpdump 설정
__4.4 샌드박스 설정
____4.4.1 샌드박스 설치
____4.4.2 게스트 확장 설치
____4.4.3 파이썬, 파이썬-PIL 설치
____4.4.4 방화벽 및 자동 업데이트 비활성화
____4.4.5 네트워크 설정
____4.4.6 추가 환경 설정
____4.4.7 Agent.py 설치
____4.4.8 가상 머신 상태 설정
____4.4.9 샌드박스 추가 생성
__4.5 쿠쿠 샌드박스 설정
____4.5.1 cuckoo.conf 설정
____4.5.2 processing.conf 설정
____4.5.3 reporting.conf 설정
____4.5.4 virtualbox.conf 설정
____4.5.5 auxiliary.conf 설정
____4.5.6 memory.conf 설정
__4.6 쿠쿠 샌드박스 엔진 운영
____4.6.1 Community.py
____4.6.2 최신 웹 인터페이스 사용
____4.6.3 분석 파일 업로드
____4.6.4 디버깅 모드 활용
____4.6.5 고전 웹 인터페이스 사용
__4.7 쿠쿠 샌드박스 리포트
____4.7.1 JSONdump 리포트
____4.7.2 HTML 리포트
____4.7.3 MMDef 리포트
____4.7.4 MAEC 리포트
__4.8 Api.py 분석
__4.9 쿠쿠 샌드박스 유틸리티
__4.10 분석 결과
____4.10.1 Quick Overview
____4.10.2 Static Analysis
____4.10.3 Behavioral Analysis
____4.10.4 Network Analysis
____4.10.5 Dropped Files
__4.11 볼라틸리티를 이용한 메모리 분석 결과
__4.12 관리자 기능
__4.13 비교 기능
__4.14 정리

5장 악성코드 상세 분석 단계
__5.1 쿠쿠 샌드박스 결과 확인
__5.2 상세 분석 대상 악성코드 개요
__5.3 상세 분석 내용
__5.4 정리

6장 기타 분석 도구 활용
__6.1 바이퍼를 이용한 바이너리 파일 분석 및 관리
____6.1.1 바이퍼 설치 과정
____6.1.2 바이퍼 사용 방법
____6.1.3 바이퍼 명령어 설명
____6.1.4 모듈
__6.2 ClamAV를 이용한 악성코드 1차 분류
__6.3 pyew를 이용한 악성코드 관리 및 분석
____6.3.1 도움말 확인하기
____6.3.2 임포트 테이블 검사 기능
____6.3.3 바이러스토탈 서비스 검사 기능
____6.3.4 URL 정보 확인 기능
____6.3.5 PDF 파일 포맷 진단 기능
__6.4 pescanner를 활용한 악성코드 여부 확인
__6.5 PEStudio를 이용한 의심되는 파일 분석
__6.6 네트워크 패킷 분석
____6.6.1 captipper를 이용한 네트워크 패킷 분석
____6.6.2 pcap-analyzer를 이용한 네트워크 패킷 분석
____6.6.3 net-creds를 이용한 중요 정보 획득
__6.7 오픈소스를 이용한 분석 예제
__6.8 도커 컨테이너 활용
____6.8.1 도커란 무엇인가
____6.8.2 도커 허브에 대해
____6.8.3 Remnux 도커 이미지 활용
__6.9 정리

7장 메모리 분석을 활용한 침해사고 대응
__7.1 볼라틸리티 개요 및 환경 구성
__7.2 볼라틸리티를 활용한 악성코드 분석
__7.3 오픈소스 도구: TotalRecall
__7.4 Redline을 이용한 메모리 분석
__7.5 볼라틸리티 플러그인 활용 및 추천
__7.6 Rekall을 활용한 메모리 포렌식 분석
__7.7 VolDiff를 활용한 메모리 분석 결과 비교
__7.8 DAMM을 활용한 메모리 분석 결과 비교
__7.9 악성코드 사례로 살펴보는 메모리 분석
__7.10 공격 시나리오를 통해 알아보는 메모리 덤프 활용
__7.11 정리