멀웨어 분석과 리버스 엔지니어링 : 멀웨어 탐지부터 리버싱 자동화까지 - 에이콘 해킹과 보안 시리즈

아비짓모한타,아눕살다나

저자:아비짓모한타(AbhijitMohanta)
사이버보안분야의전문컨설턴트이자기업트레이너로,멀웨어리버스엔지니어링(malwarereverseengineering),취약점연구,안티바이러스엔진개발,안티멀웨어시그니처와샌드박스개발등광범위한경험이있다.시만텍(Symantec),맥아피(McAfee),주니퍼네트웍스(JuniperNetworks)의안티멀웨어연구소에서근무했으며여러특허를보유하고있다.또한사이버보안관련블로그를운영하고,보안콘퍼런스와워크숍에서강연자로활동하고있다.『PreventingRansomware』(Packt,2018)의저자이며,그의글은「eForensics」잡지를포함한여러블로그와백서에인용됐다.

저자:아눕살다나(AnoopSaldanha)
미국국토안보부(DHS,DepartmentofHomelandSecurity)에서후원하는SuricataIDS의핵심개발자이자사이버보안분야의전문컨설턴트이자기업트레이너로활동하고있다.IDS/IPS,멀웨어샌드박스,멀웨어분석도구,방화벽,엔드포인트,IoT보안도구등다양한탐지기술을설계하고개발한다.RSA시큐리티(RSASecurity),주니퍼네트웍스,사이포트사이버시큐리티(CyphortCybersecurity)및다양한사이버보안기업의위협탐지연구소에서근무했다.

역자:남성민
IT서비스운영분야에서10년간의경험을쌓은후,지난13년동안정보보호및취약점관리업무에집중해왔다.이러한경력을바탕으로ISMS-P,개인정보영향평가,ISO27001,정보보안기사등의다양한정보보호관련자격증을획득했다.
현재는다양한분야의취약점점검및보안컨설팅,그리고정보보안인증심사에주력하고있다.이를통해기업과기관이직면한보안위협에대응하고,보다안전한정보보호환경을구축할수있도록지원하는중이다.이러한노력은새로운기술과비즈니스영역에서발생할수있는보안위협에대응하기위함이며,지속적으로정보보호분야에서의전문성을높이기위해노력하고있다.

역자:강성준
최근멀웨어및사이버보안분야에깊은관심을갖게됐고,에이콘출판사와의소중한인연을통해번역의길에발을들이게됐다.번역한책이독자들에게유용한정보를제공하고,사이버보안에대한이해를높이는데도움이되기를진심으로바란다.

1부.소개

1장.소개
__멀웨어의종류
____플랫폼다양성
____목표다양성
__사이버킬체인
__멀웨어공격수명주기
____개발단계
____배포단계:다양한전달시스템
____감염단계
____감염후단계
__멀웨어비즈니스모델
__멀웨어와의전쟁
____멀웨어대응관련조직
____안티멀웨어제품
__전문용어
__요약

2장.멀웨어분석랩설정
__호스트시스템요구사항
__네트워크요구사항
__멀웨어분석용VM만들기
__분석용VM설정변경
____확장자숨기기비활성화
____숨겨진파일및폴더표시
____ASLR비활성화
____윈도우방화벽비활성화
____모든안티바이러스비활성화
____일반사용자시스템모방
__스냅샷
__멀웨어분석도구
____HashMyFiles및기타해싱도구
____APIMiner
____PE파일탐색:CFFExplorer및PEView
____파일유형식별도구
____ProcessHacker,ProcessExplorer,CurrProcess
____ProcMon:프로세스모니터
____Autoruns
____Regshot
____FakeNet
____BinText
____YARA
____Wireshark
____마이크로소프트네트워크모니터
____OllyDbg2.0
____Notepad++
____Malzilla
____PEiD
____FTKImagerLite
____VolatilityStandalone
____Ring3APIHookScanner
____GMER
____SSDTView
____DriverView
____Strings
____SimpleWMIView
____RegistryViewer
____BulkExtractor
____Suricata
____CuckooSandbox
____rundll32
____oledump.py
____OllyDumpEx
____FlexHex
____Fiddler
____IDAPro
____x64dbg및ImmunityDebugger
__요약

2부.OS및시스템기초

3장.파일및파일포맷
__파일시각화를위한16진수형식
__해시:고유한파일특징
__파일식별
____파일확장자
____파일형식을결정하는파일포맷
____파일포맷의수동식별
__요약

4장.가상메모리및PE파일
__프로세스생성
____프로그램실행
____ProcessHacker로프로세스탐색
__가상메모리
____주소지정
____메모리페이지
____페이징요청
____페이지테이블
____가상메모리주소공간분할
____ProcessHacker를사용해페이지검사
____가상메모리의문자열
____멀웨어탐지를위한가상메모리
__PE파일
____윈도우실행파일
____중요한PE헤더및필드
____동적연결라이브러리
____ImportAddressTable
__요약

5장.윈도우내부
__Win32API
____API로그획득하기
____Win32DLL
____Win32API및MSDN문서
____API를통한행동식별
__윈도우레지스트리
____레지스트리의논리적관찰
____데이터저장소레지스트리
____레지스트리추가
____멀웨어및레지스트리의관계
__윈도우의주요디렉터리
____system32디렉터리
____ProgramFiles디렉터리
____사용자문서및설정
____멀웨어분석시확인사항
__윈도우프로세스
____프로세스의속성및멀웨어이상징후탐지
__윈도우서비스
____SVCHOST.EXE환경에서실행되는서비스
____svchost이용하는DLL서비스
____윈도우서비스를활용하는멀웨어
__시스템콜
__뮤텍스
__요약

3부.멀웨어구성요소및분석

6장.멀웨어구성요소및배포
__멀웨어구성요소
____페이로드
____패커
____지속성
____통신
____전파성
____방어성
____은폐성
__배포메커니즘
____익스플로잇
____스팸
____감염된저장장치
____멀버타이징
____드라이브바이다운로드
____다운로더
____취약한인증을통한직접로그인
____공유폴더
__요약

7장.멀웨어패커
__암호화및압축
__패커
____패커의작동원리
____크립토와프로텍터
____인스톨러
__패킹하기
____패킹된샘플과언패킹된샘플의비교
__패킹된샘플식별
____엔트로피
____문자열
__패커식별
____PEiD도구
____진입점의코드
____섹션이름
____맞춤형패커
__패커에대한오해
__요약

8장.지속성메커니즘
__지속성에사용되는리소스
__분석도구
____Autoruns도구
____ProcMon도구
__시작프로그램폴더
__RUN레지스트리
__윈도우서비스
__파일감염
__DLL하이재킹
__Winlogon프로세스
__작업스케줄러
__디버거
____IFEO
____SilentProcessExit
__요약

9장.네트워크통신
__멀웨어의네트워크사용사례
__멀웨어네트워크설정요소
__CnC서버IP확인
____고정된IP주소
____고정된도메인이름
____DGA와DomainFlux
__CnC와데이터유출방법
____HTTP
____IRC
____기타방법
__내부확산
____네트워크정찰
____인증정보탈취및악용준비
____접근권한획득
____SMB,PsExec,기타
__네트워크통신감지
____NetworkAPI와APIMiner도구의로그
____문자열분석
____IP및도메인평판정보
____IDS및방화벽의정적시그니처
____이상징후기준선
__요약

10장.코드인젝션,프로세스할로잉,API후킹
__코드인젝션
__코드인젝션의목적
____멀웨어숨기기
____프로세스편승
____기능변경
__코드인젝션의대상
__주요코드인젝션기법
__코드인젝션과정
____사용자모드코드인젝션과정
__전통적DLL인젝션
__프로세스할로잉
__전통적인셸코드인젝션
__반사DLL인젝션
__중요한API
__악성API가존재하는이유
__API후킹
____후킹지점및대상식별
____사용자영역에후크배치
____후킹을사용하는이유
____보안소프트웨어의후크적용
____후크탐지도구
____사례연구:DeleteFile()후킹
____사례연구:인터넷익스플로러후킹
____APIMiner도구
__요약

11장.은폐와루트킷
__은폐의목적
__기본은폐기술
____파일속성과권한
____파일아이콘위조
____파일명및확장자위조
____시스템파일명도용
____심리언어학적기법
____프로세스창숨기기
__코드인젝션
__루트킷
____사용자모드루트킷
____커널모드루트킷
__루트킷만드는다른방법
__요약

4부.멀웨어분석및분류

12장.정적분석
__정적분석의필요성
__멀웨어해시를통한정보공유
____해시생성
__인터넷의분석보고서
__VirusTotal및기타분석플랫폼
____시그니처업데이트주기
__파일형식파악하기
__전체감염콘텍스트얻기
__파일명과확장자위조
__파일아이콘위조
__파일형식및확장자의불일치
__버전및세부정보
__코드서명자정보
__정적문자열분석
____악성문자열
__YARA도구
____YARA의한계
__동적분석을위한정보수집
__요약

13장.동적분석
__VM의기준스냅샷보관
__대략적분석을위한샘플의첫번째실행
____샘플의실행환경파악
____관리자권한으로실행
____사례연구1
____사례연구2
____사례연구3
__APIMiner의로그식별
____멀웨어패밀리분류
__동적문자열분석
____파일형식
____버전및세부정보
____패킹여부확인
____메모리내문자열의동적관찰
__ProcMon도구
____AutoRuns도구
__코드인젝션탐지
____GMER및Ring3APIHookScanner
__YARA를통한동적분석
__기타악의적행위
____은폐를위한시스템파일명도용
____파일명및프로세스이름속이기
____실행파일삭제하기
____프로세스인스턴스수
____프로세스세션ID
__요약

14장.Volatility도구를통한메모리포렌식
__메모리포렌식
__다양한분석도구가필요한이유
__메모리포렌식단계
__메모리수집
____Sample-14-1.mem
____Sample-14-2.mem
____Sample-14-3.mem
__메모리분석/포렌식
____Volatility명령형식
____이미지정보
____프로세스와서비스리스트
____가상메모리검사
____프로세스모듈리스트
____핸들리스트
____레지스트리검색
____코드인젝션및API후킹식별
____커널검사
____네트워크통신
__요약

15장.멀웨어페이로드분석및분류
__멀웨어유형,패밀리,변종,클러스터링
__명명체계
__분류의중요성
____멀웨어사전감지
____적절한치료방법
____정보의축적
_