HOME > Detail View

Detail View

파이썬 오픈소스 도구를 활용한 악성코드 분석 (Loan 14 times)

Material type
단행본
Personal Author
조정원, 저 최우석, 저 이도경, 저 정지훈, 저
Title Statement
파이썬 오픈소스 도구를 활용한 악성코드 분석 / 조정원 [외]지음
Publication, Distribution, etc
의왕 :   에이콘,   2015  
Physical Medium
670 p. : 삽화 ; 26 cm
Series Statement
에이콘 해킹ㆍ보안 시리즈 = Hacking security series
ISBN
9788960777651 9788960771048 (Set)
General Note
색인수록  
공저자: 최우석, 이도경, 정지훈  
000 00000nam c2200205 c 4500
001 000045849549
005 20151112174935
007 ta
008 151112s2015 ggka 001c kor
020 ▼a 9788960777651 ▼g 94000
020 1 ▼a 9788960771048 (Set)
040 ▼a 211009 ▼c 211009 ▼d 211009
082 0 4 ▼a 005.84 ▼2 23
085 ▼a 005.84 ▼2 DDCK
090 ▼a 005.84 ▼b 2015z2
245 0 0 ▼a 파이썬 오픈소스 도구를 활용한 악성코드 분석 / ▼d 조정원 [외]지음
246 1 1 ▼a Malware analysis with Python open source toolkits
260 ▼a 의왕 : ▼b 에이콘, ▼c 2015
300 ▼a 670 p. : ▼b 삽화 ; ▼c 26 cm
440 0 0 ▼a 에이콘 해킹ㆍ보안 시리즈 = ▼x Hacking security series
500 ▼a 색인수록
500 ▼a 공저자: 최우석, 이도경, 정지훈
700 1 ▼a 조정원, ▼e
700 1 ▼a 최우석, ▼e
700 1 ▼a 이도경, ▼e
700 1 ▼a 정지훈, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.84 2015z2 Accession No. 121234785 Availability Available Due Date Make a Reservation Service B M
No. 2 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.84 2015z2 Accession No. 121246475 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

침해사고 대응 실무자 입장에서 악성코드 분석을 할 때 파이썬 오픈소스 도구를 비롯한 공개 도구들을 활용하는 다양한 방법을 설명한다. 악성코드 분석은 악성코드의 특징을 파악하는 것이 중요하며, 빠르게 원인을 분석해 추가적인 피해가 발생하지 않게 하는 데에 그 의의가 있다.

악성코드 하나하나 대응을 하는 것보다는 온라인, 오프라인 서비스 및 도구를 활용해 우선 방어구축을 해놓는 것이 중요하다. 온라인 서비스의 빠른 분석 데이터의 활용, 비공개적으로 분석을 해야 하는 상황 및 주요 대응 악성코드 데이터베이스화가 필요하다. 이 책에서는 다양한 오픈소스 도구들을 다루면서 실무에서 활용할 수 있는 방안들을 제시한다.

이 책은 침해사고 대응 실무자 입장에서 악성코드 분석을 할 때 파이썬 오픈소스 도구를 비롯한 공개 도구들을 활용하는 다양한 방법을 설명한다. 악성코드 분석은 악성코드의 특징을 파악하는 것이 중요하며, 빠르게 원인을 분석해 추가적인 피해가 발생하지 않게 하는 데에 그 의의가 있다. 악성코드 하나하나 대응을 하는 것보다는 온라인, 오프라인 서비스 및 도구를 활용해 우선 방어구축을 해놓는 것이 중요하다. 온라인 서비스의 빠른 분석 데이터의 활용, 비공개적으로 분석을 해야 하는 상황 및 주요 대응 악성코드 데이터베이스화가 필요하다. 이 책에서는 다양한 오픈소스 도구들을 다루면서 실무에서 활용할 수 있는 방안들을 제시한다.


★ 이 책의 특징 ★

■ 악성코드 분석에 필요한 온라인/오프라인 서비스 완벽가이드 제시
■ 파이썬 오픈소스 도구를 통한 악성코드 특징 분석
■ 정적/동석 분석 심화분석 사례를 통한 악성코드 분석 가이드
■ 악성코드 침해사고 대응에 필요한 파이썬 오픈소스 도구 활용 제시
■ 메모리 분석 기법을 활용한 침해사고 대응 기법 제시


★ 이 책의 대상 독자 ★

이 책은 악성코드 분석 업무에 흥미를 느끼는 입문자와 관련 실무자를 대상으로 쓰여졌다. 다음과 같은 독자들에게 이 책을 추천한다.

■ 파이썬 오픈소스 도구를 이해하고 활용하고 싶은 독자
■ 다양한 디바이스에서의 악성코드 분석을 이해하고 싶은 독자
■ IT 보안실무자 입장에서 악성코드 분석 환경을 구축하고 싶은 독자
■ 악성코드로 인한 침해사고 대응 프로세스를 이해하고 싶은 독자


★ 이 책의 구성 ★

1장에서는 오픈소스 도구와 파이썬 개발 환경을 이해하는 데 중점을 둔다. 이 책은 파이썬 오픈소스 도구 중심으로 다루기 때문에 이를 분석하고 개발하기 위한 환경을 먼저 잘 이해해둬야 한다. 깃허브(Github)와 이클립스, 그리고 플러그인 등으로 파이썬 프로그래밍 환경을 구성한다.

2장에서는 윈도우 실행 파일인 PE 포맷을 설명한다. 개인 사용자들이 제일 많이 사용하는 윈도우 운영체제의 파일 실행 포맷인 PE 파일을 이해해야 악성코드 분석에 이용할 수 있는 악성코드 특징들을 파악해본다. peframe 파이썬 오픈소스 도구를 분석하면서 PE 파일을 이해하는 시간을 갖는다.

3장에서는 악성코드 분석 관련 온라인 서비스를 살펴본다. 악성코드를 분석할 때 빠른 대응을 위해 다양한 온라인 서비스를 활용할 수 있다. 파일 분석, 도메인 주소 분석, 평판 시스템 등의 다양한 결과를 통해 내부적으로 위협을 줄 수 있는 사이트들을 검색하고 빠르게 판단하는 데 온라인 서비스가 도움을 줄 수 있다. 대표적으로 사용되는 바이러스토탈 서비스와 이 서비스의 API를 활용한 도구들을 집중적으로 다룬다.

4장에서는 악성코드 오프라인 분석 서비스에 대해 살펴본다. 3장에서 다룬 온라인 서비스에서 기반으로 하고 있는 샌드박스 구축이 주요 내용이다. 내부적으로 분석 환경을 구성하면 오프라인에서도 동일한 기능의 환경을 구성할 수 있다. 대표적으로 쿠쿠 샌드박스를 이용한 환경 구성 방법과 실제 악성코드 샘플을 가지고 도구를 다루는 과정을 상세히 설명한다.

5장에서는 악성코드 상세 분석 단계를 이해하는 데 중점을 둔다. 4장에서 자동 분석 서비스를 통해 다뤘던 샘플을 수동으로 정적/동적 분석하는 과정을 단계별로 설명한다. 자동 분석에서도 어느 정도 악성코드 여부를 판단할 수 있지만, 상세 분석을 통해 명확하게 판단한 뒤에 악성코드 확진을 차단하는 것이 목적이 되어야 한다.

6장에서는 기타 악성코드 분석 도구의 활용 방법에 대해 설명한다. 악성코드 진단 과정에서 추가로 활용할 수 있는 파이썬 기반의 도구를 다룬다. 악성코드를 수집하고 분석한 뒤에 어떻게 관리해서 데이터베이스화할 수 있는지 오픈소스를 토대로 살펴본다. 파일 분석, 네트워크 패킷 분석, PDF 파일 분석 등 다양한 환경에서 분석할 수 있는 도구도 간단히 소개한다.

7장에서는 메모리 포렌식 분석 활용을 다룬다. 메모리 포렌식 기법을 활용하면 악성코드의 휘발성 정보 및 연관성을 신속하게 분석할 수 있다. 침해사고 대응을 할 때 의심되는 악성코드를 빠르게 찾아내서 추가적인 위험이 발생하지 않도록 조치하는 것이 중요하다. 메모리 포렌식 오픈소스 도구로 활용할 수 있는 볼라틸리티(Volatility) 도구와 이를 활용한 다양한 오픈소스 도구의 활용법을 설명한다.


Information Provided By: : Aladin

Author Introduction

조정원(지은이)

'보안프로젝트(www.boanproject.com)' 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 담당했고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행했다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해 사고 대응 업무를 수행했고, KB투자증권에서 보안 업무를 담당했다.

최우석(지은이)

㈜한국정보보호교육센터에서 정보보안 교육을 이수하고, ㈜트라이큐브랩에 입사해 정보보안 업계에 처음 발을 내디뎠다. ㈜트라이큐브랩에서는 악성코드 유포를 분석하고, 악성코드 분석과 관련 있는 다양한 오픈소스를 테스트해 분석 서버의 기능을 강화하고 정보 수집 및 분석하는 연구 조직에서 일했다. 현재 처음 공부했던 ㈜한국정보보호교육센터로 다시 돌아와 연구소에서 다양한 정보보안 관련 연구를 주 업무로 하고 있다. ㈜트라이큐브랩에서 공격자의 악성코드 유포를 분석하거나 다양한 악성코드 분석과 관련 있는 오픈소스를 다루는 과정에서 많은 공부를 했고, 이를 공유하고자 www.hakawati.co.kr 도메인의 블로그를 운영하기 시작했다. 이직할 때쯤 보안프로젝트와의 인연으로 『칼리 리눅스와 백트랙을 활용한 모의 해킹』(에이콘, 2014), 『파이썬 오픈소스 도구를 활용한 악성코드 분석』(에이콘, 2015)을 공동으로 집필하게 됐고, 글쓰기의 희노애락을 알게 돼 『DBD 공격과 자바스크립트 난독화로 배우는 해킹의 기술』(한빛미디어, 2016)을 단독 집필했다. 최근에는 여러 분야의 정보보안이 매우 밀접한 관계가 있다는 것을 알게 돼 분야를 넓히기 위해 고민하고 있다. 그 일환으로 성균관대학원 법대 과학수사학과 3기로 진학, 노명선 교수님의 지도하에 법과 디지털 포렌식을 공부하고 있다.

이도경(지은이)

삼성SDS에서 4년간 웹 취약점 진단 업무를 수행했고, 현재 NSHC 레드얼럿(RedAlert) 팀에서 악성코드 분석 연구원으로 재직하며 교육콘텐츠 개발 업무도 병행하고 있다. 보안 프로젝트에서 악성코드 분석 프로젝트를 진행 중이며, 오픈소스 분석 및 개발에도 관심이 많아 관련 연구를 병행하고 있다.

정지훈(지은이)

컴퓨터정보통신공학을 전공하고 있으며, 울산대학교 정보보안 동아리 'UOU_Unknown'의 회장을 지낸 후 현재까지 동아리에서 활동 중이다. 보안 프로젝트에서는 악성코드 분석 프로젝트를 시작으로 악성코드 분석과 관련된 오픈소스 도구 분석 및 개발 프로젝트를 진행해왔다. 최근에는 여러 오픈소스 도구들을 활용해 편리하고 효율적인 악성코드 분석을 수행하는 자동화 시스템 개발 방안을 연구하고 있다.

Information Provided By: : Aladin

Table of Contents

목차
1장 오픈소스 개요와 파이썬 환경 
__1.1 오픈소스의 이해 
__1.2 파이썬의 개요 
__1.3 파이썬 환경 구성 및 배포 방법 
____1.3.1 윈도우 환경 구성 
____1.3.2 이클립스에 pydev 환경 구성하기 
____1.3.3 pyinstaller를 이용한 프로그램 배포 
__1.4 깃허브 사이트에서 오픈소스 도구 다운로드하기 
__1.5 파이썬 모듈 설치 방법 
__1.6 정리 

2장 peframe을 통해 알아보는 실행 파일 구조 
__2.1 PE 파일 포맷 이해 
____2.1.1 DOS Header 구조체 
____2.1.2 DOS Stub 프로그램 
____2.1.3 IMAGE_NT_HEADER 구조체 
__2.2 peframe 살펴보기 
____2.2.1 IMPORT 모듈 
____2.2.2 사전 작업 부분 
____2.2.3 main 함수 부분 분석 
____2.2.4 peframe을 구성하는 함수들 
__2.3 악성코드 특성 인자에 대한 이해 
____2.3.1 안티바이러스 결과 
____2.3.2 해시 값 
____2.3.3 패커 
____2.3.4 섹션명과 엔트로피 
____2.3.5 API 
____2.3.6 문자열 
____2.3.7 PE 메타데이터 
__2.4 정리 

3장 악성코드 분석 서비스 이해 
__3.1 분석 환경에 대한 이해 
____3.1.1 자동 분석 서비스 종류 
____3.1.2 악성코드 분석 라이브 CD 소개 
____3.1.3 악성코드 수집은 어디서 하는가 
__3.2 온라인 분석 서비스 이해 
____3.2.1 바이러스토탈 서비스에 대한 소개 
____3.2.2 바이러스토탈 서비스 API 활용 예제 
____3.2.3 URLquery를 이용한 악성코드 감염 사이트 확인 
____3.2.4 hybrid-analysis를 이용한 악성코드 분석 
__3.3 정리 

4장 쿠쿠 샌드박스 활용법 
__4.1 쿠쿠 샌드박스란? 
__4.2 쿠쿠 샌드박스의 특징 
__4.3 쿠쿠 샌드박스 설치 
____4.3.1 우분투 14.04 LTS 설치 
____4.3.2 게스트 확장 설치 
____4.3.3 저장소 설정 
____4.3.4 보조 패키지 및 라이브러리 설치 
____4.3.5 필수 패키지 및 라이브러리 설치 
____4.3.6 tcpdump 설정 
__4.4 샌드박스 설정 
____4.4.1 샌드박스 설치 
____4.4.2 게스트 확장 설치 
____4.4.3 파이썬, 파이썬-PIL 설치 
____4.4.4 방화벽 및 자동 업데이트 비활성화 
____4.4.5 네트워크 설정 
____4.4.6 추가 환경 설정 
____4.4.7 Agent.py 설치 
____4.4.8 가상 머신 상태 설정 
____4.4.9 샌드박스 추가 생성 
__4.5 쿠쿠 샌드박스 설정 
____4.5.1 cuckoo.conf 설정 
____4.5.2 processing.conf 설정 
____4.5.3 reporting.conf 설정 
____4.5.4 virtualbox.conf 설정 
____4.5.5 auxiliary.conf 설정 
____4.5.6 memory.conf 설정 
__4.6 쿠쿠 샌드박스 엔진 운영 
____4.6.1 Community.py 
____4.6.2 최신 웹 인터페이스 사용 
____4.6.3 분석 파일 업로드 
____4.6.4 디버깅 모드 활용 
____4.6.5 고전 웹 인터페이스 사용 
__4.7 쿠쿠 샌드박스 리포트 
____4.7.1 JSONdump 리포트 
____4.7.2 HTML 리포트 
____4.7.3 MMDef 리포트 
____4.7.4 MAEC 리포트 
__4.8 Api.py 분석 
__4.9 쿠쿠 샌드박스 유틸리티 
__4.10 분석 결과 
____4.10.1 Quick Overview 
____4.10.2 Static Analysis 
____4.10.3 Behavioral Analysis 
____4.10.4 Network Analysis 
____4.10.5 Dropped Files 
__4.11 볼라틸리티를 이용한 메모리 분석 결과 
__4.12 관리자 기능 
__4.13 비교 기능 
__4.14 정리 

5장 악성코드 상세 분석 단계 
__5.1 쿠쿠 샌드박스 결과 확인 
__5.2 상세 분석 대상 악성코드 개요 
__5.3 상세 분석 내용 
__5.4 정리 

6장 기타 분석 도구 활용 
__6.1 바이퍼를 이용한 바이너리 파일 분석 및 관리 
____6.1.1 바이퍼 설치 과정 
____6.1.2 바이퍼 사용 방법 
____6.1.3 바이퍼 명령어 설명 
____6.1.4 모듈 
__6.2 ClamAV를 이용한 악성코드 1차 분류 
__6.3 pyew를 이용한 악성코드 관리 및 분석 
____6.3.1 도움말 확인하기 
____6.3.2 임포트 테이블 검사 기능 
____6.3.3 바이러스토탈 서비스 검사 기능 
____6.3.4 URL 정보 확인 기능 
____6.3.5 PDF 파일 포맷 진단 기능 
__6.4 pescanner를 활용한 악성코드 여부 확인 
__6.5 PEStudio를 이용한 의심되는 파일 분석 
__6.6 네트워크 패킷 분석 
____6.6.1 captipper를 이용한 네트워크 패킷 분석 
____6.6.2 pcap-analyzer를 이용한 네트워크 패킷 분석 
____6.6.3 net-creds를 이용한 중요 정보 획득 
__6.7 오픈소스를 이용한 분석 예제 
__6.8 도커 컨테이너 활용 
____6.8.1 도커란 무엇인가 
____6.8.2 도커 허브에 대해 
____6.8.3 Remnux 도커 이미지 활용 
__6.9 정리 

7장 메모리 분석을 활용한 침해사고 대응 
__7.1 볼라틸리티 개요 및 환경 구성 
__7.2 볼라틸리티를 활용한 악성코드 분석 
__7.3 오픈소스 도구: TotalRecall 
__7.4 Redline을 이용한 메모리 분석 
__7.5 볼라틸리티 플러그인 활용 및 추천 
__7.6 Rekall을 활용한 메모리 포렌식 분석 
__7.7 VolDiff를 활용한 메모리 분석 결과 비교 
__7.8 DAMM을 활용한 메모리 분석 결과 비교 
__7.9 악성코드 사례로 살펴보는 메모리 분석 
__7.10 공격 시나리오를 통해 알아보는 메모리 덤프 활용 
__7.11 정리

New Arrivals Books in Related Fields