악성코드 분석가의 비법서

<책소개>

악성코드 분석가의 비법서』는 악성코드 분석에 필요한 여러 비법을 소개한 책이다. 악성코드 분석 환경 구축에서 다양한 자동화 분석 도구를 이용한 분석 방법까지 차근차근 설명한다. 또한 디버깅과 포렌식 기법까지 상당히 넓은 영역을 난이도 있게 다루어 악성코드 분석 전문가도 활용할 수 있도록 하였다.

 

<이 책에서 다루는 내용>

■ 신분을 노출하지 않고 온라인 조사를 수행하는 법
■ 허니팟을 이용해 봇과 웜이 배포하는 악성코드 수집
■ 의심스러운 내용을 포함한 자바스크립트, PDF, 오피스 문서 분석
■ 가상화 또는 일체형 하드웨어를 이용해 저렴한 악성코드 연구 환경 구성
■ 일반적인 인코딩과 암호 알고리즘을 리버스 엔지니어링
■ 악성코드 분석을 위한 고급 메모리 포렌식 플랫폼 구성
■ 제우스(Zeus), 사일런트뱅커(Silent Banker), 코어플러드(CoreFlood), 콘플리커(Conficker), 바이러트(Virut), 클램피(Clampi), 뱅크패치(Bankpatch), 블랙에너지(BlackEnergy) 등과 같은 널리 퍼진 악성코드 조사

 

<목차>

1 행동 익명화
___오니온 라우터(토르)
______비법 1-1 | 토르를 이용한 익명 브라우징
___토르를 이용한 악성코드 연구
______비법 1-2 | WGET과 네트워크 클라이언트에 TORSOCKS 이용
______비법 1-3 | 파이썬으로 작성한 멀티플랫폼에서 토르 활성 다운로더
___토르의 단점
___프록시 서버와 프로토콜
______비법 1-4 | 무료 프록시를 통한 트래픽 포워딩
______비법 1-5 | 프록시 연결에 SSH 터널 사용
______비법 1-6 | PRIVOXY로 향상된 프라이버시를 지원하는 웹브라우징
___웹 기반 익명기
______비법 1-7 | ANONYMOUSE.ORG 사이트를 이용한 익명 브라우징
___익명성을 보장받는 대안
___무선 전화 인터넷 연결
______비법 1-8 | 무선 전화 네트워크를 통한 인터넷 접속
___가상 사설망
______비법 1-9 | ANONYMIZER UNIVERSAL을 통한 VPN 사용
___접속 식별과 흔적 남기지 않기

2 허니팟
___NEPENTHES 허니팟
______비법 2-1 | NEPENTHES를 이용한 악성코드 샘플 수집
______비법 2-2 | IRC 로깅을 통한 실시간 공격 감시
______비법 2-3 | 파이썬으로 HTTP를 통한 NEPENTHES 전송 수용
___DIONAEA 허니팟으로 작업
______비법 2-4 | DIONAEA을 통한 악성코드 샘플 수집
______비법 2-5 | 파이썬을 이용한 HTTP 전송
______비법 2-6 | XMPP를 통한 실시간 이벤트 통지와 바이너리 공유
______비법 2-7 | DIONEA로 로깅한 공격 분석과 재현
______비법 2-8 | P0F를 이용한 원격 시스템 수동 식별
______비법 2-9 | SQLITE와 GNUPLOT로 DIONAEA 공격 패턴 그래프 작성

3 악성코드 분류
___CLAMAV를 활용한 분류
______비법 3-1 | 기존 CLAMAV 시그니처 검사
______비법 3-2 | 개별 CLAMAV 데이터베이스 생성
__...(하략)