1부. 소개
1장. 소개
__멀웨어의 종류
____플랫폼 다양성
____목표 다양성
__사이버 킬 체인
__멀웨어 공격 수명 주기
____개발 단계
____배포 단계: 다양한 전달 시스템
____감염 단계
____감염 후 단계
__멀웨어 비즈니스 모델
__멀웨어와의 전쟁
____멀웨어 대응 관련 조직
____안티 멀웨어 제품
__전문 용어
__요약
2장. 멀웨어 분석 랩 설정
__호스트 시스템 요구 사항
__네트워크 요구 사항
__멀웨어 분석용 VM 만들기
__분석용 VM 설정 변경
____확장자 숨기기 비활성화
____숨겨진 파일 및 폴더 표시
____ASLR 비활성화
____윈도우 방화벽 비활성화
____모든 안티 바이러스 비활성화
____일반 사용자 시스템 모방
__스냅샷
__멀웨어 분석 도구
____HashMyFiles 및 기타 해싱 도구
____APIMiner
____PE 파일 탐색: CFF Explorer 및 PEView
____파일 유형 식별 도구
____Process Hacker, Process Explorer, CurrProcess
____ProcMon: 프로세스 모니터
____Autoruns
____Regshot
____FakeNet
____BinText
____YARA
____Wireshark
____마이크로소프트 네트워크 모니터
____OllyDbg 2.0
____Notepad++
____Malzilla
____PEiD
____FTK Imager Lite
____Volatility Standalone
____Ring3 API Hook Scanner
____GMER
____SSDTView
____DriverView
____Strings
____SimpleWMIView
____Registry Viewer
____Bulk Extractor
____Suricata
____Cuckoo Sandbox
____rundll32
____o
이 책에서 다루는 내용
맞춤형 패커와 컴파일러를 활용해 멀웨어를 효과적으로 분석할 수 있다.
복잡한 멀웨어를 언패킹하고 주요 구성 요소를 찾아 의도를 파악할 수 있다.
다양한 정적 및 동적 멀웨어 분석 도구를 사용할 수 있다.
여러 탐지 엔지니어링 도구를 활용해 멀웨어의 내부 흐름을 변경할 수 있다.
Snort 규칙을 작성하고 Suricata IDS에 규칙을 사용할 수 있다.
지은이의 말
사이버 보안 전문가는 멀웨어에 감염된 조직에서 연락을 받으며 감염을 처리하는 방법과 시스템을 보호하는 방법에 대한 질문을 받는다.
대부분의 이야기가 비슷한 패턴을 보인다. 멀웨어 감염이 발생해 안티 멀웨어 프로그램으로 차단하고 시스템을 격리하고 치료했다. 안티 멀웨어 시그니처를 했지만 다시 감염이 발생해 다른 시스템과 직원에게 영향을 미치고 있다.
추가로 질문하면 몇 가지 중요한 질문에 답하지 못하는 경우가 많다.
공격의 진입점을 파악했는지?
감염이 얼마나 퍼졌는지 확인했는지?
멀웨어 감염의 모든 아티팩트(artifact(결과물를 파악했는지?
사이버 공격의 배후에 있는 위협 행위자와 목적을 파악했는지?
멀웨어 감염으로 인한 피해 사항을 경영진에게 보고했는지?
많은 경우 추가 질문의 답변이 확인되지 않아 분석 과정에서 허점이 생기고 네트워크를 통한 추가 감염이 발생하기도 한다. 공격의 배후와 목적을 파악하지 못하는 것은 실제 피해 사항을 완전히 파악하지 못한다는 것을 의미하며, 경영진은 멀웨어 감염으로 인한 비즈니스와 브랜드의 잠재적 피해에 대비하는 계획을 수립할 수도 있다. 바로 이것이 멀웨어 탐지 및 분석 엔지니어링의 중요성이며, 효과적이며 효율적인 멀웨어 업무 처리가 필요한 이유다.
이 책은 제로데이 이니셔티브와 OpenRCE의 창시자인 페드람 아미니에 의해 ‘괴물!’로 묘사됐다. 실제로 이 책은 포괄적인 내용과 연습 문제로 가득 찬 괴물과 같다. 이 책을 마치면 여러분은 모든 멀웨어에 대처할 수 있을 것이다.
