멀웨어 분석과 리버스 엔지니어링 : 멀웨어 탐지부터 리버싱 자동화까지 - 에이콘 해킹과 보안 시리즈

Name: 멀웨어 분석과 리버스 엔지니어링 : 멀웨어 탐지부터 리버싱 자동화까지 - 에이콘 해킹과 보안 시리즈
Brand: 에이콘출판 - 아비짓 모한타, 아눕 살다나
SKU: 9791161758503
Price: 50.88 USD
Availability: InStock
Rating: 0 (0 reviews)

$50.88

Ask a Question

Vendor: 에이콘출판 - 아비짓 모한타, 아눕 살다나

Type: 네트워크 구축/보안/해킹

SKU: 9791161758503

Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking

Tags: 멀웨어분석과리버스엔지니어링멀웨어탐지부터리버싱자동화까지에이콘해킹과보안시리즈 컴퓨터/인터넷_OS/Networking

Description

멀웨어 분석과 리버스 엔지니어링에 대한 깊은 이해가 사이버 위협에 대응하는 데 필수적임을 보여주며, 기초부터 고급 기술까지 필요한 모든 지식을 체계적으로 제공하는 책이다. 또한 리버스 엔지니어링 과정을 통해 소프트웨어의 내부 구조를 파악하고 취약점을 발견하는 방법을 상세히 설명한다.

저자

아비짓모한타,아눕살다나

저자:아비짓모한타(AbhijitMohanta)
사이버보안분야의전문컨설턴트이자기업트레이너로,멀웨어리버스엔지니어링(malwarereverseengineering),취약점연구,안티바이러스엔진개발,안티멀웨어시그니처와샌드박스개발등광범위한경험이있다.시만텍(Symantec),맥아피(McAfee),주니퍼네트웍스(JuniperNetworks)의안티멀웨어연구소에서근무했으며여러특허를보유하고있다.또한사이버보안관련블로그를운영하고,보안콘퍼런스와워크숍에서강연자로활동하고있다.『PreventingRansomware』(Packt,2018)의저자이며,그의글은「eForensics」잡지를포함한여러블로그와백서에인용됐다.

저자:아눕살다나(AnoopSaldanha)
미국국토안보부(DHS,DepartmentofHomelandSecurity)에서후원하는SuricataIDS의핵심개발자이자사이버보안분야의전문컨설턴트이자기업트레이너로활동하고있다.IDS/IPS,멀웨어샌드박스,멀웨어분석도구,방화벽,엔드포인트,IoT보안도구등다양한탐지기술을설계하고개발한다.RSA시큐리티(RSASecurity),주니퍼네트웍스,사이포트사이버시큐리티(CyphortCybersecurity)및다양한사이버보안기업의위협탐지연구소에서근무했다.

역자:남성민
IT서비스운영분야에서10년간의경험을쌓은후,지난13년동안정보보호및취약점관리업무에집중해왔다.이러한경력을바탕으로ISMS-P,개인정보영향평가,ISO27001,정보보안기사등의다양한정보보호관련자격증을획득했다.
현재는다양한분야의취약점점검및보안컨설팅,그리고정보보안인증심사에주력하고있다.이를통해기업과기관이직면한보안위협에대응하고,보다안전한정보보호환경을구축할수있도록지원하는중이다.이러한노력은새로운기술과비즈니스영역에서발생할수있는보안위협에대응하기위함이며,지속적으로정보보호분야에서의전문성을높이기위해노력하고있다.

역자:강성준
최근멀웨어및사이버보안분야에깊은관심을갖게됐고,에이콘출판사와의소중한인연을통해번역의길에발을들이게됐다.번역한책이독자들에게유용한정보를제공하고,사이버보안에대한이해를높이는데도움이되기를진심으로바란다.

1부.소개

1장.소개
__멀웨어의종류
____플랫폼다양성
____목표다양성
__사이버킬체인
__멀웨어공격수명주기
____개발단계
____배포단계:다양한전달시스템
____감염단계
____감염후단계
__멀웨어비즈니스모델
__멀웨어와의전쟁
____멀웨어대응관련조직
____안티멀웨어제품
__전문용어
__요약

2장.멀웨어분석랩설정
__호스트시스템요구사항
__네트워크요구사항
__멀웨어분석용VM만들기
__분석용VM설정변경
____확장자숨기기비활성화
____숨겨진파일및폴더표시
____ASLR비활성화
____윈도우방화벽비활성화
____모든안티바이러스비활성화
____일반사용자시스템모방
__스냅샷
__멀웨어분석도구
____HashMyFiles및기타해싱도구
____APIMiner
____PE파일탐색:CFFExplorer및PEView
____파일유형식별도구
____ProcessHacker,ProcessExplorer,CurrProcess
____ProcMon:프로세스모니터
____Autoruns
____Regshot
____FakeNet
____BinText
____YARA
____Wireshark
____마이크로소프트네트워크모니터
____OllyDbg2.0
____Notepad++
____Malzilla
____PEiD
____FTKImagerLite
____VolatilityStandalone
____Ring3APIHookScanner
____GMER
____SSDTView
____DriverView
____Strings
____SimpleWMIView
____RegistryViewer
____BulkExtractor
____Suricata
____CuckooSandbox
____rundll32
____oledump.py
____OllyDumpEx
____FlexHex
____Fiddler
____IDAPro
____x64dbg및ImmunityDebugger
__요약

2부.OS및시스템기초

3장.파일및파일포맷
__파일시각화를위한16진수형식
__해시:고유한파일특징
__파일식별
____파일확장자
____파일형식을결정하는파일포맷
____파일포맷의수동식별
__요약

4장.가상메모리및PE파일
__프로세스생성
____프로그램실행
____ProcessHacker로프로세스탐색
__가상메모리
____주소지정
____메모리페이지
____페이징요청
____페이지테이블
____가상메모리주소공간분할
____ProcessHacker를사용해페이지검사
____가상메모리의문자열
____멀웨어탐지를위한가상메모리
__PE파일
____윈도우실행파일
____중요한PE헤더및필드
____동적연결라이브러리
____ImportAddressTable
__요약

5장.윈도우내부
__Win32API
____API로그획득하기
____Win32DLL
____Win32API및MSDN문서
____API를통한행동식별
__윈도우레지스트리
____레지스트리의논리적관찰
____데이터저장소레지스트리
____레지스트리추가
____멀웨어및레지스트리의관계
__윈도우의주요디렉터리
____system32디렉터리
____ProgramFiles디렉터리
____사용자문서및설정
____멀웨어분석시확인사항
__윈도우프로세스
____프로세스의속성및멀웨어이상징후탐지
__윈도우서비스
____SVCHOST.EXE환경에서실행되는서비스
____svchost이용하는DLL서비스
____윈도우서비스를활용하는멀웨어
__시스템콜
__뮤텍스
__요약

3부.멀웨어구성요소및분석

6장.멀웨어구성요소및배포
__멀웨어구성요소
____페이로드
____패커
____지속성
____통신
____전파성
____방어성
____은폐성
__배포메커니즘
____익스플로잇
____스팸
____감염된저장장치
____멀버타이징
____드라이브바이다운로드
____다운로더
____취약한인증을통한직접로그인
____공유폴더
__요약

7장.멀웨어패커
__암호화및압축
__패커
____패커의작동원리
____크립토와프로텍터
____인스톨러
__패킹하기
____패킹된샘플과언패킹된샘플의비교
__패킹된샘플식별
____엔트로피
____문자열
__패커식별
____PEiD도구
____진입점의코드
____섹션이름
____맞춤형패커
__패커에대한오해
__요약

8장.지속성메커니즘
__지속성에사용되는리소스
__분석도구
____Autoruns도구
____ProcMon도구
__시작프로그램폴더
__RUN레지스트리
__윈도우서비스
__파일감염
__DLL하이재킹
__Winlogon프로세스
__작업스케줄러
__디버거
____IFEO
____SilentProcessExit
__요약

9장.네트워크통신
__멀웨어의네트워크사용사례
__멀웨어네트워크설정요소
__CnC서버IP확인
____고정된IP주소
____고정된도메인이름
____DGA와DomainFlux
__CnC와데이터유출방법
____HTTP
____IRC
____기타방법
__내부확산
____네트워크정찰
____인증정보탈취및악용준비
____접근권한획득
____SMB,PsExec,기타
__네트워크통신감지
____NetworkAPI와APIMiner도구의로그
____문자열분석
____IP및도메인평판정보
____IDS및방화벽의정적시그니처
____이상징후기준선
__요약

10장.코드인젝션,프로세스할로잉,API후킹
__코드인젝션
__코드인젝션의목적
____멀웨어숨기기
____프로세스편승
____기능변경
__코드인젝션의대상
__주요코드인젝션기법
__코드인젝션과정
____사용자모드코드인젝션과정
__전통적DLL인젝션
__프로세스할로잉
__전통적인셸코드인젝션
__반사DLL인젝션
__중요한API
__악성API가존재하는이유
__API후킹
____후킹지점및대상식별
____사용자영역에후크배치
____후킹을사용하는이유
____보안소프트웨어의후크적용
____후크탐지도구
____사례연구:DeleteFile()후킹
____사례연구:인터넷익스플로러후킹
____APIMiner도구
__요약

11장.은폐와루트킷
__은폐의목적
__기본은폐기술
____파일속성과권한
____파일아이콘위조
____파일명및확장자위조
____시스템파일명도용
____심리언어학적기법
____프로세스창숨기기
__코드인젝션
__루트킷
____사용자모드루트킷
____커널모드루트킷
__루트킷만드는다른방법
__요약

4부.멀웨어분석및분류

12장.정적분석
__정적분석의필요성
__멀웨어해시를통한정보공유
____해시생성
__인터넷의분석보고서
__VirusTotal및기타분석플랫폼
____시그니처업데이트주기
__파일형식파악하기
__전체감염콘텍스트얻기
__파일명과확장자위조
__파일아이콘위조
__파일형식및확장자의불일치
__버전및세부정보
__코드서명자정보
__정적문자열분석
____악성문자열
__YARA도구
____YARA의한계
__동적분석을위한정보수집
__요약

13장.동적분석
__VM의기준스냅샷보관
__대략적분석을위한샘플의첫번째실행
____샘플의실행환경파악
____관리자권한으로실행
____사례연구1
____사례연구2
____사례연구3
__APIMiner의로그식별
____멀웨어패밀리분류
__동적문자열분석
____파일형식
____버전및세부정보
____패킹여부확인
____메모리내문자열의동적관찰
__ProcMon도구
____AutoRuns도구
__코드인젝션탐지
____GMER및Ring3APIHookScanner
__YARA를통한동적분석
__기타악의적행위
____은폐를위한시스템파일명도용
____파일명및프로세스이름속이기
____실행파일삭제하기
____프로세스인스턴스수
____프로세스세션ID
__요약

14장.Volatility도구를통한메모리포렌식
__메모리포렌식
__다양한분석도구가필요한이유
__메모리포렌식단계
__메모리수집
____Sample-14-1.mem
____Sample-14-2.mem
____Sample-14-3.mem
__메모리분석/포렌식
____Volatility명령형식
____이미지정보
____프로세스와서비스리스트
____가상메모리검사
____프로세스모듈리스트
____핸들리스트
____레지스트리검색
____코드인젝션및API후킹식별
____커널검사
____네트워크통신
__요약

15장.멀웨어페이로드분석및분류
__멀웨어유형,패밀리,변종,클러스터링
__명명체계
__분류의중요성
____멀웨어사전감지
____적절한치료방법
____정보의축적
_

출판사 서평

이책에서다루는내용

맞춤형패커와컴파일러를활용해멀웨어를효과적으로분석할수있다.
복잡한멀웨어를언패킹하고주요구성요소를찾아의도를파악할수있다.
다양한정적및동적멀웨어분석도구를사용할수있다.
여러탐지엔지니어링도구를활용해멀웨어의내부흐름을변경할수있다.
Snort규칙을작성하고SuricataIDS에규칙을사용할수있다.

지은이의말

사이버보안전문가는멀웨어에감염된조직에서연락을받으며감염을처리하는방법과시스템을보호하는방법에대한질문을받는다.

대부분의이야기가비슷한패턴을보인다.멀웨어감염이발생해안티멀웨어프로그램으로차단하고시스템을격리하고치료했다.안티멀웨어시그니처를했지만다시감염이발생해다른시스템과직원에게영향을미치고있다.

추가로질문하면몇가지중요한질문에답하지못하는경우가많다.

공격의진입점을파악했는지?
감염이얼마나퍼졌는지확인했는지?
멀웨어감염의모든아티팩트(artifact)(결과물)를파악했는지?
사이버공격의배후에있는위협행위자와목적을파악했는지?
멀웨어감염으로인한피해사항을경영진에게보고했는지?

많은경우추가질문의답변이확인되지않아분석과정에서허점이생기고네트워크를통한추가감염이발생하기도한다.공격의배후와목적을파악하지못하는것은실제피해사항을완전히파악하지못한다는것을의미하며,경영진은멀웨어감염으로인한비즈니스와브랜드의잠재적피해에대비하는계획을수립할수도있다.바로이것이멀웨어탐지및분석엔지니어링의중요성이며,효과적이며효율적인멀웨어업무처리가필요한이유다.
이책은제로데이이니셔티브와OpenRCE의창시자인페드람아미니에의해‘괴물!’로묘사됐다.실제로이책은포괄적인내용과연습문제로가득찬괴물과같다.이책을마치면여러분은모든멀웨어에대처할수있을것이다.

옮긴이의말

멀웨어분석과리버스엔지니어링은정보보안의핵심분야로자리잡고있다.이두분야에대한깊은이해와전문지식은사이버위협에효과적으로대응하기위해필수적이다.이책은이러한지식을습득하고자하는독자들에게귀중한자원이될것이다.

멀웨어는점점더정교해지고있으며,이에대응하기위해서는멀웨어의작동원리를정확히이해하고분석할수있는능력이요구된다.이책은멀웨어분석의기초부터고급기술에이르기까지독자들이필요로하는지식과기술을체계적으로제공한다.

리버스엔지니어링은소프트웨어의내부구조와작동원리를파악하는과정이다.이과정을통해분석가들은소프트웨어의취약점을발견하고,멀웨어의의도를분석할수있다.이책은이러한과정을상세히설명하며,실제사례를통해리버스엔지니어링의중요성을강조한다.

사이버보안위협은지속적으로증가하고있으며,이에대응하기위한전문가의수요도높아지고있다.이책은멀웨어분석과리버스엔지니어링에관심있는모든이에게꼭필요한지식을제공한다.독자들은이책을통해멀웨어분석의기본개념부터시작해실제멀웨어샘플을분석하는고급기술까지습득할수있을것이다.
저자들은멀웨어분석과리버스엔지니어링분야에서오랜경험을갖고있다.그들의지식과경험이페이지마다녹아있으며,독자들에게실질적인도움을줄것이다.특히,다양한멀웨어샘플과실습을통해이론적지식을실제상황에적용하는방법을가르친다.

번역서를출간함으로써우리는국내의정보보안전문가들과이분야에관심있는모든이에게귀중한자원을제공하고자한다.한국에서리버스엔지니어의부족현상을해소하고,새로운인재들이정보보안분야에서활약하는모습을보고싶다는바람이다.리버스엔지니어링세계에서활약할새로운인재들의등장을기대한다.