Windows 환경에서 침해 시스템 분석하기 (할랜 카비의 유형별 침해 윈도우 분석 사례집)

할랜카비

거의30년동안정보보호분야에서일한경력이있다.미군에서통신장교로근무후,민간영역으로옮겨취약점평가업무를수행했다.이후침해사고대응과디지털포렌식분석을맡았으며,통상‘APT’라부르는표적형위협공격수행자를추적하고대응하는데상당한경험이있다.
저술가이며발표자,오픈소스도구개발자다.집에서맥주만들기,말타기,구스넥말트레일러를좁은주차공간에후진하는것이취미다.영화대사를인용해질문에답변하는것을즐기는데,가장좋아하는영화는<어퓨굿맨>과<데드풀>이다.
버지니아군사학교에서전기공학학사학위를받았으며,해군대학원에서같은전공으로석사학위를받았다.버지니아에살고있으며,시리우스XM에서HairNation채널을즐겨듣는다.

1장.분석절차
__소개
__분석절차
____목표
____분석계획
____보고
____교훈
__이책에서다루는내용

2장.악성코드찾기
__소개
__악성코드찾기:윈도우XP
____이미지형식
____분석목표
____이미지조사
____타임라인구성
____시스템시간변경
____악성코드문서화
____분석요약
____분석포인트
__악성코드찾기:윈도우7
____분석목표
____이미지조사
____타임라인구성
____USB장치분석
____분석요약
____분석포인트
__마무리

3장.사용자행위
__소개
__CFReDS해킹이미지
____분석목표
____분석계획
____타임라인
____추가데이터
____요약
____교훈
__데이터절도
____분석목표
____분석계획
____연결된장치
____데이터도난
____아웃룩PST파일
____기타데이터소스
____요약
____교훈
__조의PC
____분석목표
____분석계획
____분석
____ThumbCache데이터베이스내용보기
____충분함
____요약
____교훈

4장.웹서버침해
__소개
__윈도우2008웹서버
____분석목표
____분석계획
____데이터추출
____분석
____결과
____요약

5장.테스트환경구성
__소개
__테스트환경구성
____설정
____테스트와문서화
__파일시스템터널링
__파일삭제
__볼륨셰도우카피
__마치며

★이책에서다루는내용★

■자세한분석절차와단계별분석방향결정방법을제공해주요발견이어떻게이뤄지는지이해할수있다.
■악성코드탐지,사용자활동,웹서버침해분석및테스트환경설정
■윈도우XP,윈도우2008,윈도우7,윈도우10과같은윈도우플랫폼포함
■디지털포렌식분석과침해사고대응분야에종사하는독자대상를대상으로하는초/중급서

★이책의대상독자★

이책은분석업무에대한기본지식이전혀없는초보분석가를대상으로쓴책은아니다.이책은다양한데이터소스에대해기본적으로이해하고있거나자신의분석경험을통해얻은지식의부족함을메우려는사람을대상으로한다.이책을최대한활용하기위해서는최소한의이해와경험을필요로한다.
이책의독자들은$MFT레코드의기본적인구성요소를이해하고있고,그들이궁금한점이있다면브라이언캐리어(BrianCarrier)의『파일시스템포렌식분석(FileSystemForensicAnalysis)』책을살펴보거나,블로그,멘토등을통해이해가가지않는부분을해결할수있을거라가정한다.
또한독자들은이미타임라인을생성해야하는이유와그방법을이해하고있다고가정한다.독자들이이책을읽는동안실제로타임라인을만드는것이중요한것은아니지만,그방법을이해하고있다고가정할것이다.
이책에수록된분석예제중타임라인을전부제공하는것은적절하지않아발췌해수록했다.타임라인은재현하기쉬운만큼보는데문제가없을것이다.
추가로이책에서는많은무료도구와오픈소스도구들을사용한다.경우에따라서는요구에맞게코드를개발하거나수정하고,코드에대한설명을제공하기도한다.

★이책의구성★

1장,‘분석절차’에서는분석절차와그의미에대해논의를시작한다.내경험에따르면대부분의분석가는분석을반복적으로처리할뿐절차로생각하지않는다.1장에서이것이무엇을의미하는지를확인하고,사건노트를통해분석을문서화하는필요성에관해이야기한다.
2장,‘악성코드찾기’에서는윈도우시스템이미지에서악성코드를찾는방법을알아본다.하지만악성코드의역공학분석에대해서는다루지않는다.이미이분야에는내가다룰수있는것보다훨씬더자세히다루고있는책과자료들이많기때문이다.다양한버전의윈도우운영체제에서악성코드를찾는예를제공하는것에초점두고설명한다.
3장,‘사용자행위’에서는몇가지윈도우시스템에서사용자행위에대해살펴본다.다양한윈도우버전에훌륭하게구성된데이터들을제공하고,데이터를어떻게분석에적용할수있는지도살펴본다.
4장,‘웹서버침해’에서는웹서버침입분석에대해다룬다.알리하디(AliHadi,트위터계정@binary0ne)는웹서버가동작중인윈도우2008시스템을기반으로잘만들어진분석챌린지문제를제공했다.이분석연습은서버로부터획득한디스크이미지보다더많은것을포함하고있다.챌린지문제에는메모리덤프와그이미지자체에웹서버로그를포함하고있다.따라서단순히수집된이미지보다훨씬더많은통합분석을할수있다.
5장,‘테스트환경구성’에서는테스트환경의설정을다룬다.그리고이환경을이용해개념과테스트이론을확인하는방법을설명한다.테스트된개념은요즘인기있고현란한최신의것일필요는없다.특히전문적인공격자를추적하는분야에서는파일과운영체제기능의기본을이해하는것이훨씬중요하다.
예를들면시스템에서파일이어떻게사라지는지에대해이론화하는것이다.어느한시점에시스템에존재했지만,파일이삭제됐을때무슨일이있었는지를이해하지못한다면그것을어떻게증명할수있는가?또한NTFS파일시스템내의파일이‘resident’하다는것은무슨의미인가?여러분은이질문에대해책에기술된답변을외울수있는가?또는그러한상황을경험했을뿐만아니라적극적으로연구하고증명을통해알고있는가?이제,이에대해서알아보자.

★옮긴이의말★

대부분의보안분야가그렇듯디지털포렌식은이미존재하는소프트웨어나하드웨어의기술을후행한다.즉,기존기술에의존적인분야다.디스크,메모리,네트워크,운영체제,파일시스템,애플리케이션등에따라각각의포렌식기술이존재하며,새로운제품이나기술이등장하면그에따른새로운분석기술이필요하다.따라서포렌식분석기술은매우다양하며,계속해서그수와범위가늘어난다.윈도우시스템과관련된포렌식기술만하더라도수십,수백가지다.
그렇다면포렌식분석할때어떤기술을언제어떻게사용해야할까?포렌식분야서적을통해배운A부터Z까지의분석기술을순서대로적용하면될까?실제로그런식으로분석을진행한다면몇년간분석해도끝나지않을수도있다.
대부분의포렌식분석은제한된시간내에제한된리소스를가지고수행해야하기때문에분석가는분석대상시스템,아티팩트,분석기법등을선별(triage)해야한다.이를위해서는분석목표를뚜렷하게세워야한다.그리고분석목표에맞는분석계획을세우고,최대한계획에따라분석을진행해야한다.그렇지않으면분석중에길을잃기십상이다.분석계획이있더라도프로그램개발하듯이순서대로진행하기쉽지않은데,분석계획도없이무턱대고분석을시작하면본문에언급된것처럼바로토끼굴행이다.포렌식분석을실제해본사람은이와같은경험이있을것이다.그래서포렌식분야는기술적지식도중요하지만체득된경험이중요한분야인것같다.
이책에서는악성코드찾기,해킹행위분석하기,데이터유출분석하기,사용자행위분석하기,침해웹서버분석하기등주요침해유형을고루다루고있다.분석테크닉외에도왜그타이밍에그아티팩트를분석했는지와같은분석흐름에집중하면,특히글로포렌식을배운경험이부족한초보분석가에게도움이될것이다.
이책에녹아있는저자의생각과분석경험은나역시평소에포렌식분석업무를수행하면서고민해왔던주제였기때문에자식을낳아길러봐야부모의마음을조금이나마헤아릴수있다는말처럼,이책을번역하는도중여러번무릎을치며저자의말에공감할수있었다.
포렌식공부를시작한2006년경국내에는국내서적뿐만아니라번역서조차없었다.그래서영어원서나인터넷을통해포렌식기술을접할수밖에없었는데,당시에윈도우포렌식을공부하기위해열심히읽었던책이바로『WindowsForensicAnalysisDVDToolkit』(Syngress,2007)이었다.그리고그책의저자는할랜카비였다.할랜카비의서적을번역하게돼마치스승님의책을번역하는듯한신기한감정이든다.
이책을통해많은분석가가분석하면서토끼굴로내려가지않고분석의방향을잃지않게되기를바란다.
포렌식분야를시작하면서항상마음에새기고있는문구를소개하며마친다.
“Asyoucanseeasmuchasyouknow(아는만큼보인다)”