1장. 악성코드 사고 대응<br/>__소개<br/>____로컬 수집 vs. 원격 수집<br/>__휘발성 데이터 수집 방법론<br/>____휘발성 데이터 보존<br/>____라이브 윈도우 시스템에서 물리 메모리 획득<br/>____로컬에서 물리 메모리 획득<br/>____GUI 기반 메모리 덤프 도구<br/>____원격에서 물리 메모리 획득<br/>____대상 시스템에 관한 정보 수집<br/>____시스템에 로그인한 사용자 식별<br/>__프로세스 정보 수집<br/>____프로세스 이름과 프로세스 식별자<br/>____프로세스와 실행 프로그램 매핑: 실행 파일의 전체 시스템 경로<br/>____프로세스와 사용자를 매핑<br/>____자식 프로세스<br/>____동작 중인 프로세스에 의해 로드된 개체의 의존성<br/>__열린 포트와 동작 중인 프로세스/프로그램과의 연관성<br/>____서비스와 드라이버 식별<br/>____동작 중인 서비스 조사<br/>____설치된 드라이버 조사<br/>____열린 파일 확인<br/>____로컬에서 열린 파일 확인<br/>____원격에서 열린 파일 확인<br/>____명령 히스토리 수집<br/>____공유 리소스 식별<br/>____예약 작업 확인<br/>____클립보드 내용 수집<br/>__라이브 윈도우 시스템에서 비휘발성 데이터를 수집<br/>____라이브 윈도우 시스템에서 저장 매체를 포렌식 목적으로 복제<br/>____라이브 윈도우 시스템에서 선별한 데이터의 포렌식 보존<br/>____보안 구성 평가<br/>____신뢰된 호스트 간의 관계 평가<br/>____프리페치 파일 조사<br/>____자동 시작 위치 조사<br/>____이벤트 로그 수집<br/>____로그온 이벤트와 로그오프 이벤트<br/>____사용자 계정과 그룹 정책 정보 검토<br/>____파일시스템 조사<br/>____레지스트리 내용 덤프와 분석<br/>____원격 레지스트리 분석<br/>____웹 브라우저 활동 조사<br/>____쿠키 파일 조사<br/>____보호된 저장소 조사<br/>____라이브 윈도우 시스템에서 악성코드 흔적의 발견과 추출<br/>____의심 파일 추출<br/>____F-Response로 하는 의심 파일 추출<br/>__결론<br/>__주의할점<br/>__침해사고 대응 도구 모음<br/>__원격 수집 도구<br/>__휘발성 데이터 수집 및 분석 도구<br/>__물리 메모리 획득<br/>__대상 시스템 정보 수집<br/>__시스템에 로그인한 사용자 식별<br/>__네트워크 연결과 활동<br/>__프로세스 분석<br/>__핸들<br/>____로드된 DLL<br/>__열린 포트와 동작 중인 프로세스/프로그램과의 연관성<br/>____명령 행 인수<br/>__서비스<br/>__드라이버<br/>__열린 파일<br/>__예약된 작업 확인<br/>__클립보드 내용<br/>__비휘발성 데이터 수집 및 분석 도구<br/>__시스템 보안 설정<br/>__프리페치 파일 분석<br/>__자동 시작 위치<br/>__이벤트 로그<br/>__그룹 정책<br/>__파일시스템: 숨긴 파일과 대체 데이터 스트림<br/>____레지스트리 내용의 덤프와 분석<br/>__웹 히스토리<br/>__악성코드 추출<br/>__참고 문헌<br/>__법학/RFC/기술 명세서<br/><br/>2장. 메모리 포렌식<br/>__소개<br/>____조사 시 고려 사항<br/>__메모리 포렌식 개요<br/>____고전적 메모리 분석 기법<br/>__윈도우 메모리 포렌식 도구의 동작 원리<br/>__윈도우 메모리 포렌식 도구<br/>____프로세스와 스레드<br/>____모듈과 라이브러리<br/>____열린 파일과 소켓<br/>____다양한 데이터 구조체<br/>__윈도우 프로세스 메모리 덤프<br/>____실행 파일 복구<br/>____프로세스 메모리 복구<br/>____라이브 시스템에서 프로세스 메모리 추출<br/>__윈도우 프로세스 메모리 해부<br/>__결론<br/>__주의할 점<br/>__메모리 포렌식: 현장 노트<br/>__참고 문헌<br/>__법학/RFC/기술 명세서<br/><br/>3장. 사후 포렌식<br/>__소개<br/>__윈도우 포렌식 분석 개요<br/>__윈도우 시스템에서 악성코드 식별 및 추출<br/>____알려진 악성코드 검색<br/>____설치된 프로그램 조사<br/>____프리페치 파일 조사<br/>____실행파일 점검<br/>____서비스, 드라이버, 자동 실행 위치, 예약된 작업 점검<br/>____로그 조사<br/>____사용자 계정과 로그인 활동 검토<br/>__윈도우 파일 시스템 조사<br/>__윈도우 레지스트리 조사<br/>____복원 지점<br/>__키워드 검색<br/>__감염된 윈도우 시스템의 포렌식적 재구성<br/>__윈도우 시스템에서 악성코드를 식별하고 추출하는 고급 기법<br/>__결론<br/>__주의할 점<br/>__윈도우 시스템 조사: 현장 노트<br/>__윈도우 분석 도구 상자<br/>__포렌식 사본 마운팅<br/>__윈도우 시스템의 포렌식 조사<br/>__타임라인 생성<br/>__윈도우 시스템 내의 일반적인 정보 출처에 대한 포렌식 조사<br/>__참고 문헌<br/><br/>4장. 법적 고려사항<br/>__다루고자 하는 이슈<br/>__일반적인 고려사항<br/>____법적 환경<br/>__조사 권한 부여 기관<br/>____관할권에 따른 권한<br/>____사적 권한<br/>____공공/법령에 의한 권한<br/>__권한에 대한 법령적 제한<br/>____저장된 데이터<br/>____실시간 데이터<br/>____보호된 데이터<br/>__데이터 수집용 도구<br/>____업무용<br/>____수사용<br/>____수사/해킹 겸용<br/>__국경 간 데이터 수집<br/>____개인 또는 민간 조사에 있어서의 업무현장 데이터<br/>____정부 또는 범죄 조사에 있어서의 업무현장 데이터<br/>__사법당국의 개입<br/>____피해자가 사법당국의 개입을 꺼리는 이유<br/>____사법당국의 관점<br/>____사법당국과 피해자 사이에서 중립 지키기<br/>__증거능력 향상<br/>____문서화<br/>____보존<br/>____연계 보관<br/>__각 주의 사립탐정 관련 법령과 정보유출 고지<br/>__국제 기구 자료<br/>____국경 간 수사 관련 자료<br/>__연방 법률: 디지털 조사관이 사용할 증거<br/>____관련성<br/>____입증<br/>____최적 증거<br/>____전문가 증언<br/>____변호사 비밀유지 의무 포기의 제한<br/><br/>5장. 파일 식별과 프로파일링<br/>__소개<br/>__파일 프로파일링 절차에 대한 개요<br/>____의심스러운 파일 프로파일링<br/>____명령 행 인터페이스 MD5 도구<br/>____GUI MD5 도구<br/>__파일 유사도 인덱싱<br/>__파일 시각화<br/>____파일 시그니처 식별 및 분류<br/>____파일 형식<br/>____파일 시그니처 식별 및 분류 도구<br/>____안티 바이러스 시그니처<br/>____웹기반 악성코드 스캐닝 서비스<br/>____내장 아티팩트 추출: 스트링, 심볼릭 정보, 그리고 파일 메타데이터<br/>____문자열<br/>____파일 의존성 검사: 동적, 정적 링크<br/>____심볼릭과 디버그 정보<br/>____내장된 파일 메타데이터<br/>__파일 난독화: 패킹과 암호화 식별<br/>____패커<br/>____크립터<br/>____바인더, 조이너, 래퍼<br/>____내장 아티팩트를 추출해 재검토<br/>____윈도우 실행파일 형식<br/>__의심스러운 문서 파일 프로파일링<br/>____PDF 파일 프로파일링<br/>____PDF 파일 형식<br/>____PDF 프로파일링 프로세스: CLI 도구<br/>____PDF 프로파일링: GUI 도구<br/>____마이크로소프트 오피스 파일 프로파일링<br/>____마이크로소프트 오피스 문서: 워드, 파워포인트, 엑셀<br/>____마이크로소프트 오피스 문서: 파일 형식<br/>____마이크로소프트 오피스 문서: 취약점과 익스플로잇<br/>____마이크로소프트 오피스 문서 프로파일링 절차<br/>____OffceMalScanner를 이용한 심층 프로파일링<br/>____MS CHM(컴파일된 HTML 도움말 파일) 프로파일링<br/>____CHM 프로파일링 프로세스<br/>__결론<br/>__주의할 점<br/>__참고문헌<br/>__기술 명세<br/><br/>6장. 악성코드 표본 분석<br/>__소개<br/>__목표<br/>__악성코드 분석 지침<br/>__분석 환경 기준 수립<br/>____시스템 ‘스냅샷’<br/>____호스트 무결성 모니터<br/>____설치 모니터<br/>__실행 전 준비 사항: 시스템과 네트워크 모니터링<br/>____시스템 및 네트워크를 대상으로 한 패시브 모니터링<br/>____시스템 및 네트워크를 대상으로 한 액티브 모니터링<br/>__실행 아티팩트 캡처: 디지털 흔적과 추적 증거<br/>____흔적 증거<br/>____추적 증거<br/>____디지털 흔적 증거<br/>____디지털 추적 증거<br/>__악성코드 표본 실행<br/>__실행 궤적 분석: 네트워크, 프로세스, API, 파일 시스템 그리고 레지스트리 활동 관찰<br/>____네트워크 활동: 네트워크 궤적, 흔적, 그리고 추적 증거<br/>____환경 에뮬레이션 및 수정: 네트워크 궤적 재구성<br/>____네트워크 궤적 재구성: 연쇄(chaining)<br/>____네트워크 흔적 및 추적 증거<br/>____NetCat 리스너 사용<br/>____프로세스 활동 조사<br/>____프로세스 감시: API 호출 모니터링<br/>____피핑 톰(Peeping Tom): 윈도우 스파잉<br/>____파일 시스템 활동 조사<br/>____레지스트리 활동 조사<br/>__자동화된 악성코드 분석 프레임워크<br/>__온라인 악성코드 분석 샌드박스<br/>__난독화 해제<br/>____사용자 지정 언패킹 도구<br/>____의심스러운 메모리 내 프로세스를 덤프<br/>____OEP 위치를 확인하고 OllyDump로 추출하기<br/>____임포트 테이블 재구성<br/>__내장 아티팩트 재검토<br/>____디스어셈블러를 통한 의심스러운 프로그램 조사<br/>____고급PE 분석: PE 리소스 및 의존성 조사<br/>__악성코드 표본 파일과의 상호작용 및 조작: 기능과 목적에 대한 연구 및 검증<br/>____API 후킹<br/>____트리거 이벤트 구동<br/>____클라이언트 응용 프로그램<br/>__이벤트 재구성과 아티팩트 재조사: 실행 후 데이터 분석<br/>____패시브 모니터링 아티팩트<br/>____액티브 모니터링 아티팩트<br/>____캡처된 네트워크 트래픽 분석<br/>____API 호출 분석<br/>____물리 메모리 아티팩트<br/>__디지털 바이러스학: 악성코드의 분류 및 계통 발생론을 통한 고급 프로파일링<br/>____CTPH<br/>____텍스트 유사도와 바이너리 유사도<br/>____함수 흐름도<br/>____프로세스 메모리 궤적 분석<br/>____시각화<br/>____행위에 관한 프로파일링 및 분류<br/>__결론<br/>__주의할 점<br/>__참고문헌

★ 저자 서문 ★

2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적이고 불법적인 목적으로 개발된 프로그램의 수와 복잡도가 상당히 증가했다. 2011년에 시만텍은 인터넷 보안 위협 보고서를 통해 그 이전 연도에만 2억 8600만 개의 새로운 위협이 발생했다고 발표했다. 에프시큐어(F-Secure)를 비롯한 기타 백신 업체도 2011년에 모바일 장치와 스카다(SCADA) 시스템에 대한 공격이 증가할 것으로 예측했다

과거의 악성코드는 기능성과 공격 벡터를 기반으로 깔끔하게 분류(예, 바이러스, 웜, 트로이목마)할 수 있었지만 최근의 악성코드는 다양한 기능과 전파 수단이 혼합돼 다면적이고 모듈화된 형태로 나타나고 있다. 악성코드의 대부분은 더 조직적이고 전문적인 컴퓨터 범죄를 지원하려고 개발되는데, 실제로 범죄자들은 컴퓨터를 제어하거나 개인정보, 기밀정보, 특허를 탈취해 이익을 얻기 위해 이러한 악성코드를 광범위하게 사용하고 있다. 오퍼레이션 트라이던트 브리치(Operation Trident Breach) 사건에서는 수백 명의 개인이 제우스(ZeuS)와 같은 악성코드를 사용해 디지털 절도 행위를 벌이다가 체포되기도 했다. 오늘날 거대한 회색 시장은 악성코드가 백신 프로그램의 탐지를 회피하고 전문적으로 개발될 수 있게 도와주고 있으며, 사이버 범죄 그룹은 이를 유용하고 가치 있게 사용하고 있다.

컴퓨터를 통해 발전소나 기타 중요한 기반 시설을 방해하도록 개발된 악성코드에 대한 우려가 점점 커지고 있는데, 이는 사이버 전쟁으로 불리기도 한다. 2010년에 등장한 스턱스넷(StuxNet)은 그 강력함을 입증하는 대표적 사례다. 스턱스넷은 공격자가 대상 시스템에 연결된 프로그램 가능한(programmable) 논리 제어기에 접근해 핵 원자로와 같은 산업 시스템의 동작을 변경할 수 있는 정교한 프로그램이다. 이러한 유형의 공격은 발전소나 사회 핵심 기반 시설을 망가트려서 지역 사람들에게 잠재적으로 큰 피해를 입힐 수 있다.

외국 정부는 산업 및 군사 간첩을 지원하는 맞춤형 악성코드를 개발하려고 고도로 숙련된 해커팀에 자금을 지원하고 있다. 구글 시스템에 침입하는 일이 이런 공격자들의 고도화되고 지속적인 능력을 보여준다. 이처럼 잘 조직된 공격의 유형은 ‘지능형 지속 위협(APT)’으로 알려져 있는데, 침입 대상 조직의 네트워크에 오랜 기간 잠복해 정보를 유출하거나 첩보를 수집하는 등의 형태로 나타나며 일반적으로 산업 스파이 행위와 관련돼 있다. 이렇듯 스파이나 범죄 행위를 저지르고 사이버 공격을 수행하는 악성코드가 증가함에 따라 디지털 조사관들은 그동안 백신 업체나 보안 전문가의 고유 영역으로 간주됐던 악성코드 분석 기법과 도구에 더욱 주목할 수밖에 없게 됐다.

이 책은 컴퓨터 시스템을 대상으로 증가하고 있는 공격을 방지하는 데 필요한 핵심 지식과 기술, 도구를 실무자들에게 제공하려고 작성되었다. 또한, 디지털 조사관이 컴퓨터 시스템에서 악성코드를 발견해 악성코드의 기능과 목적을 알아낸 후, 악성코드가 대상 시스템에서 어떤 영향을 미쳤는지를 살펴보는 데 도움이 되도록 작성됐다. 포렌식 관점에서의 악성코드 분석을 더 고도화시키기 위한 구체적인 방법론을 제공하고, 법적 고려사항에 대해 알아봄으로써 신뢰할 수 있고 반복 가능한 방법으로 분석하고 철저히 문서화해 분석 결과가 법정에서 인정받을 수 있게 한다.

실질적인 사례 연구를 사용해 기술과 관련 도구를 입증하기 위해 이 책의 저자진이 저술한 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)과는 달리 이 책은 전략적이고 실용적인 면을 모두 다루고 실전에서 사용할 수 있도록 간결하게 구조화된 형식을 취하고 있다. 아울러 필요한 요소와 실전 혹은 연구 환경을 위한 온라인 자원에 대해서는 아이콘을 활용해 쉽게 참조할 수 있게 했다.


★ 역자 서문 ★

과거에는 네트워크 공격이나 취약점 익스플로잇, 잘못된 시스템 구성 등 침해사고의 원인이 비교적 다양했으나, 최근에는 대부분의 침해사고가 악성코드 감염에서부터 시작되고 있다. 그만큼 악성코드의 기능과 목적도 다양해졌으며, 이에 따라 악성코드 포렌식 방법론에 대한 연구가 활발해지고 선택할 수 있는 분석 도구의 종류도 늘어나게 되었다.

이러한 환경에서 실제 포렌식 분석을 진행하다 보면 다양한 문제에 직면하게 된다. 분석 절차가 누락되거나 중요한 조사 관점을 놓치기도 하고, 선택한 도구가 환경에 적용되지 않아 대체할 수 있는 분석 도구에 대한 정보가 필요하기도 하며, 고려해야 할 법적 문제도 존재한다. 이는 대부분의 분석가들이 겪는 문제로, 이를 해결하려면 분석 현장에서 바로 참고할 수 있는 활용서가 필요했다.

이 책은 윈도우 환경에서 악성코드 포렌식을 수행하는 데 필요한 메모리, 파일 시스템, 네트워크 및 리버스 엔지니어링에 관한 기반 지식을 제공할 뿐만 아니라, 이러한 기술들을 활용해 효율적으로 문제를 해결할 수 있게 지침을 제시한다. 메타 데이터를 포함한 주요 데이터의 활용 방안과, 다양한 도구에 대한 실제 활용 사례를 소개하고 있는 것도 이 책의 특징 중 하나다. 모든 악성코드 포렌식 분석 과정에 필요한 내용을 점검표 형식으로 담고 있어, 실무에 유용하게 활용될 수 있을 것으로 기대된다.

★ 이 책에서 다루는 내용 ★ <br/>■ 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와 작업 목록 <br/>■ 윈도우 시스템에서 활성 데이터를 수집하고 조사하는 방법<br/>■ 의심스러운 파일을 프로파일링하기 위한 구체적인 기술<br/>■ 현장에서 종종 접하게 되는 법적 고려사항<br/>■ 현장에서 바로 활용할 수 있는 템플릿과 빠른 가이드<br/>■ 전용 웹사이트(www.malwarefieldguide.com)에서 제공하는 최신 도구와 리소스<br/><br/>★ 이 책의 대상 독자 ★<br/><br/>컴퓨터 포렌식 수사관, 분석가를 비롯한 다양한 전문가가 참고할 수 있다.<br/><br/>★ 이 책의 구성 ★<br/><br/>이 책에서는 악성코드 사고를 다루는 전체적인 방법론을 다음과 같이 5단계로 나눈다. <br/><br/>1단계: 포렌식을 대비한 휘발성 데이터 보존과 조사 (1장)<br/>2단계: 메모리 조사 (2장)<br/>3단계: 포렌식 분석: 하드디스크 조사 (3장)<br/>4단계: 알려지지 않은 파일의 프로파일링 (5장)<br/>5단계: 악성코드 샘플의 동적 분석과 정적 분석 (6장)<br/><br/>각 단계마다 형식화된 방법론과 목표를 강조함으로써, 디지털 조사관이 악성코드 감염을 둘러싼 이벤트 상황을 생생하게 재구성하고 악성코드 자체에 대해 상세하게 설명한다. 다만, 책에서 제시한 방법론이 맹목적으로 따라야만 하는 점검표 역할을 한다는 의미는 아니다. 디지털 조사관은 관찰 대상에 대해 항상 비판적인 사고를 가져야 하며, 그에 맞춰 조사 방향을 조정할 수 있어야 한다. <br/>