[실전 리눅스 악성코드 포렌식]은 리눅스 운영체제에서 발생하는 침해 사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 팁 등을 소개한다. 책은 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와 작업 목록, 리눅스 시스템의 휘발성 데이터를 수집하고 조사하는 방법, 의심스러운 파일을 프로파일링하기 위한 구체적인 기술, 현장에서 종종 접하게 되는 법적 고려사항, 현장에서 바로 활용할 수 있는 참고자료와 템플릿, 전용 웹사이트(www.malwarefieldguide.com)에서 제공하는 최신 도구와 리소스 등을 다루고 있다.
저자 소개
저자 카메론 말린(Cameron H. Malin)은 미 연방수사국(FBI)의 특수요원이며, 컴퓨터 침입과 악성코드 사고 조사를 담당하고 있다. FBI에서 근무하기 전에는 플로리다 주의 마이애미에서 검사보(ASA)와 미 연방 특별검?사보(SAUSA)를 역임하면서 컴퓨터 범죄 기소를 담당했다. 검사보로 재직하는 동안, 조지 워싱턴 대학에서 컴퓨터 사기에 관한 석사 과정 프로그램의 조교수로 활동했다.
저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.
목 차
목차
1장 악성코드에 의한 사고 대응
소개
__현지 대 원격지 수집
휘발성 데이터 수집 방법론
__수집 단계의 문서화
__휘발성 데이터 수집 절차
__휘발성 데이터의 보존
__동작 중인 리눅스 시스템의 물리적? 메모리 획득
__현지에서의 물리적 메모리 획득
__/proc/meminfo 파일의 내용 문서화
__원격 물리 메모리 수집
__물리적 메모리 수집의 다른 방법
__대상 시스템에 대한 자세한 내용 수집
__시스템에 로그인한 사용자 식별
__네트워크 접속과 활동 조사
__프로세스 정보 수집
__동작 중인 리눅스 시스템에서의 프로세스 메모리 보존
__시스템 상태와 결과물에 관련된 맥락에서 동작 중인 프로세스 검토
__/proc 디렉터리의 휘발성 데이터
__동작 중인 프로세스와 프로그램에 열려 있는 포트의 상호관계
__열린 파일과 의존 관계
__실행 중인 서비스 식별
__탑재된 모듈의 검사
__명령 히스토리 수집
__마운트된 공유 드라이브 식별
__예약된 작업의 판별
__클립보드 내용 수집
동작 중인 시스템으로부터 비휘발성 데이터 수집
__동작 중인 시스템에서의 스토리지 미디어 포렌식 복제
__동작 중인 시스템의 스토리지 미디어 원격 수집
__동작 중인 리눅스 시스템에서 선택된 데이터의 포렌식 보존
__보안 설정 평가
__신뢰할 수 있는 호스트 간의 관계 평가
__로그인 로그와 시스템 로그 수집
결론
주의할 점
사고 대응 도구 모음
악성코드 포렌식 도구 상자
원격 수집 도구
휘발성 데이터 수집과 분석 도구
대상 시스템 상세 정보 수집
시스템에 로그인한 사용자 식별
네트워크 접속과 행동
프로세스 분석
로드된 모듈
열린 파일
명령 히스토리
참고 문헌
__도서
__논문
__온라인 자료
__법/RFC/기술 명세서
2장 리눅스 메모리 포렌식
소개
메모리 포렌식 개요
‘전통적인 방식’의 메모리 분석
리눅스 메모리 포렌식 도구는 어떻게 동작하는가
리눅스 메모리 포렌식 도구
__프로세스와 스레드
__모듈과 라이브러리
__열린 파일과 소켓
리눅스 메모리 내 다양한 자료구조의 해석
__명령 기록
__암호화된 키와 패스워드
리눅스 프로세스 메모리 덤프하기
__실행 파일의 복원
__프로세스 메모리의 복원
__동작 중인 시스템에서 프로세스 메모리 추출
리눅스 프로세스 메모리 해부
결론
주의할 점
__발견한 것에 대한 검증 실패
__조사 바탕이 되는 자료구조에 대한 잘못된 이해
현장 노트: 메모리 포렌식
악성코드 포렌식 도구 상자
참고 문헌
__도서
__논문
__온라인 자료
3장 사후 포렌식
소개
리눅스 포렌식 분석 개요
리눅스 시스템에서 악성코드를 발견하고 추출
__알려진 악성 프로그램의 검색
__설치된 프로그램과 잠재적으로 의심스러운 실행 파일의 조사
__서비스, 모듈, 자동 시작 위치, 계획된 작업의 조사
__로그 검사
__사용자 계정과 로그인 행동 재검토
리눅스 파일시스템 검사
응용프로그램 흔적 조사
키워드 검색
공격받은 리눅스 시스템의 포렌식을 위한 재구성
리눅스 시스템으로부터 향상된 악성 프로그램의 발견과 추출
결론
주의할 점
현장 노트: 리눅스 시스템 검사
포렌식 도구 모음
악성코드 포렌식 도구 상자
시간 축 생성
참고 문헌
__도서
__논문
4장 법적 고려사항
다루고자 하는 이슈
일반적인 고려사항
__법적 환경
조사 권한 부여 기관
__관할권에 따른 권한
__사적 권한
__공공/법령에 의한 권한
권한에 대한 법령적 제한
__저장된 데이터
__실시간 데이터
__보호된 데이터
데이터 수집용 도구
__업무용
__수사용
__수사/해킹 겸용
국경 간 데이터 수집
__개인 또는 민간 조사에 있어서의 업무 현장 데이터
__정부 또는 범죄 조사에 있어서의 업무 현장 데이터
사법당국의 개입
__피해자가 사법당국의 개입을 꺼리는 이유
__피해자가 오해하는 부분
__사법당국의 관점
__사법당국과 피해자 사이에서 중립 지키기
증거능력 향상
__문서화
__보존
__연계 보관
각 주의 사립탐정 관련 법령과 정보유출 고지 법령
국제 기구 자료
__국경 간 수사 관련 자료
연방 법률: 디지털 조사자가 사용할 증거
__관련성__입증
__최적 증거
__전문가 증언
__변호사 비밀 유지 의무 포기의 제한
5장 파일 식별 및 프로파일링
소개
파일 프로파일링 프로세스 개요
리눅스 실행 파일 다루기
__실행 파일이 컴파일되는 방법
__정적 링킹 vs 동적 링킹
__심볼릭, 디버그 정보
__스트립된 실행 파일
__의심 파일 프로파일링
__커맨드라인 인터페이스 MD5 도구
__GUI MD5 도구
파일 유사성 인덱싱
파일 시각화
__파일 시그니처 확인과 분류
__파일 타입
__파일 시그니처 확인 및 분류 툴
__웹 기반 악성 프로그램 검사 서비스
__임베디드 아티팩트 추출: 문자열, 심볼릭 정보, 파일 메타데이터
__문자열
__임베디드 문자열 분석 도구
심볼릭 정보와 디버그 정보
임베디드 파일 메타데이터
파일 난독화: 패킹과 암호화 확인
__패커
__크립터
__래퍼
__난독화된 파일 확인
임베디드 아티팩트 추출 재고
ELF 형식
__ELF Shell(elfsh) 사용
__ELF Header (Elf32_ehdr)
__ELF 섹션 헤더 테이블(Elf32_shdr)
__프로그램 헤더 테이블(Elf32_Phdr)
__심볼 테이블에서 심볼릭 정보 추출
__노트 섹션 항목
__동적 섹션 항목
__버전 컨트롤 정보
__Objdump를 이용한 바이너리 샘플 분석
의심 문서 파일 프로파일링
어도비 PDF 프로파일링
__PDF 파일 포맷
__PDF 프로파일링 프로세스: CLI 프로그램
__PDF 프로파일링 프로세스: GUI 프로그램
마이크로소프트 오피스 파일 프로파일링
__MS 오피스 문서: 워드, 파워포인트, 엑셀
__MS 오피스 문서 파일 포맷
__MS 오피스 문서: 취약점과 익스플로잇
__MS 오피스 문서 프로파일링 프로세스
__OfficeMalScanner를 이용한 상세 프로파일링
결론
주의할 점
악성코드 포렌식 도구 상자
__파일 외관 캡처
__커맨드라인 해시 프로그램
__GUI 해시 프로그램
__파일 유사성 인덱싱
__파일 시각화
__16진수 에디터
__안티바이러스
__문자열
__파일 의존성
__심볼릭 정보와 디버그 정보 추출
__파일 메타데이터
__ELF 파일 분석
__악성 문서 분석: PDF 파일
참고 문헌
__도서
__논문
__온라인 자료
__기술 명세서
6장 악성코드 샘플의 분석
소개
__목적
악성 파일의 샘플을 조사하기 위한 가이드라인
실행 환경 베이스라인 설정
__시스템 스냅샷
__호스트 무결성 모니터
__설치 모니터
실행 전 준비: 시스템 및 네트워크 모니터링
__패시브 시스템 및 네트워크 모니터링
__액티브 시스템 및 네트워크 모니터링
__NIDS를 이용해 이상 검출 및 이벤트 기반 모니터링
실행 아티팩트 캡처: 디지털 인상 및 추적 증거
__인상 증거
__추적 증거
__디지털 인상 증거
__디지털 추적 증거
__실제 메모리의 추적과 인상 증거
악성코드 샘플 실행
실행 경로 분석: 네트워크, 프로세스, 시스템 호출,
시스템 작업 파일 관찰
__네트워크 활동: 네트워크 궤적, 노출, 추적 증거
__환경 에뮬레이션 및 조정: 네트워크 궤적 복원
__네트워크 궤적 복원: 체인
__네트워크 인상 및 추적 증거
__프로세스 활동 검사
__/proc/ 디렉터리 탐색
__프로세스와 포트의 상관관계: 네트워크 연결 및 오픈된 포트 검사
__strace를 이용한 시스템 호출 캡처
__SystemTap과 Mortadelo를 이용해 시스템 호출 캡처
__ltrace를 이용한 동적 라이브러리 호출 캡처
__gdb를 실행해 실행 중인 프로세스 검사
__파일시스템의 활동 검사
자동화된 악성코드 분석 프레임워크
임베드된 아티팩트 추출
출판사 서평
출판사 서평
★ 요약 ★
오늘날 보안담당자나 수사관이 포렌식 업무를 수행할 때는 윈도우를 비롯해 리눅스 시스템에 존재하는 웜, 봇넷, 루트킷, 토로이 목마와 같은 악성코드를 분석하고 윈도우 및 기타 로그들과? 연관 지어 사고의 원인을 밝히는 역량이 필요하다. 다년간 실제 사건 수사에 참여한 정보보안 전문가들이 쓴 이 책에는 리눅스 운영체제에서 발생하는 침해 사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 팁 등이 들어있다.
★ 이 책에서 다루는 내용 ★
■ 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와...
★ 요약 ★
오늘날 보안담당자나 수사관이 포렌식 업무를 수행할 때는 윈도우를 비롯해 리눅스 시스템에 존재하는 웜, 봇넷, 루트킷, 토로이 목마와 같은 악성코드를 분석하고 윈도우 및 기타 로그들과 연관 지어 사고의 원인을 밝히는 역량이 필요하다. 다년간 실제 사건 수사에 참여한 정보보안 전문가들이 쓴 이 책에는 리눅스 운영체제에서 발생하는 침해 사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 팁 등이 들어있다.
★ 이 책에서 다루는 내용 ★
■ 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와 작업 목록
■ 리눅스 시스템의 휘발성 데이터를 수집하고 조사하는 방법
■ 의심스러운 파일을 프로파일링하기 위한 구체적인 기술
■ 현장에서 종종 접하게 되는 법적 고려사항
■ 현장에서 바로 활용할 수 있는 참고자료와 템플릿
■ 전용 웹사이트(www.malwarefieldguide.com)에서 제공하는 최신 도구와 리소스
★ 이 책의 대상 독자 ★
컴퓨터 포렌식 수사관, 분석가를 비롯한 다양한 전문가가 참고할 수 있다.
★ 이 책의 구성 ★
이 책에서는 악성코드 사고를 다루는 전반적인 방법론을 다음과 같이 5단계로 나눈다.
1단계: 포렌식 보존과 휘발성 데이터의 검사 (1장)
2단계: 메모리의 검사 (2장)
3단계: 포렌식 분석: 하드 드라이브의 검사( 3장)
4단계: 알 수 없는 파일의 파일 프로파일링( 5장)
5단계: 악성코드 샘플의 동적 및 정적 분석( 6장)
각 단계마다 정형화된 방법론과 목표는 디지털 조사관이 악성코드 감염을 둘러싼 사건의 생생한 사진을 재구성하는 것을 강조하고 악성코드 자체에 대해 자세히 이해할 수 있게 한다. 이 책에서 설명하는 방법은 맹목적으로 따라야 할 체크리스트는 아니다. 디지털 조사관은 관찰 대상에 대해 항상 비판적인 사고를 가져야 하며, 그에 따라 조사 방향을 조정해야 한다.
★ 저자 서문 ★
2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적인 목적이나 불법적인 용도를 위해 개발된 프로그램의 수와 복잡성이 증가하는 추세다. 최근에 발표된 시만텍 인터넷 보안 위협 보고서는 온라인 보안 위협이 2012년에 크게 증가하고 발전했다고 발표했다. 이 보고서에는 사이버 스파이 동향이 급성장하는 동향뿐만 아니라 새로운 악성코드 위협이 고도화되고 사악해져가고 있다고 언급했다. 보고서는 악성코드 작성자들이 금전적인 이익이나 데이터 수집을 위해 특정 대상자를 겨냥하는 공격이 더 많이 수행되고 있으며 또한 악성코드를 이용한 공격자를 인식하기란 점점 더 어려워지고 있다고 밝혔다. 악의적인 이메일, 웹 도메인, 모바일 악성코드들이 눈에 띄게 증가하고 있으며 이는 위협의 궤도가 지속적으로 상승하고 있음을 보여준다. 이러한 추세는 상당히 높은 수준의 악성코드 위협이 계속 존재하게 될 것임을 의미한다. F-Secure를 비롯한 안티바이러스 벤더들은 백서에서, 맥 OS나 특히 안드로이드 플랫폼의 모바일 디바이스를 공격하는 악성코드가 증가하고 있고, 조직화된 핵티비즘 단체 및 국가가 공격 코드 개발을 지원해 더욱 복합하게 수행되는 공격이 증가하고 있음을 언급하고 있다.
과거에는 악성코드가 기능과 공격의 매개체에 따라(예를 들면, 바이러스, 웜 또는 트로이 목마) 분명하게 분류되었다. 오늘날의 악성코드는 모듈화되고, 다양한 경로로 감염되며, 다양한 기능을 포함해 복합적인 위협으로 작용하며, 여러 가지 전파 수단을 가진다. 이악성코드의 대부분은 점점 조직화된 전문 컴퓨터 범죄자를 지원하기 위해 개발되었다. 물론 범죄자들은 자신들의 이익을 위해 컴퓨터를 제어하고 개인 기밀 또는 기타 독점 정보를 훔치는 용도로 악성코드를 광범위하게 활용하고 있다. 트라이던트 브리치 작전(Operation Trident Breach) 으로, 수백 명에 달하는 사람들이 제우스(Zeus) 등의 악성코드를 사용한 디지털 절도 혐의로 체포되었다. 오늘날 번창한 회색시장(Gray Market, 암시장(Black Market)과 일반시장(Market)의 중간 형태)의 존재는, 악성코드가 현존하는 바이러스 백신 프로그램 탐지를 피하기 위해 전문적으로 개발되었고, 사이버 범죄에 정통한 그룹들이 악성코드의 가치를 알고 있으며, 사용 가능한 상태의 악성코드에 항시적으로 접근 가능하다는 사실을 보여준다.
이 책은 실전에서 전략적 레퍼런스로 활용할 수 있도록 작성됐다. 디지털 조사관이 리눅스 컴퓨터 시스템에 악성코드를 식별할 수 있도록 기획되었으며, 리눅스에서 기능과 목적을 발견하는 악성코드를 검사하고 대상 리눅스 시스템에서 악성코드의 영향을 결정한다. 포렌식 분야로 악성코드 분석을 진행하기 위한 특정한 방법이 제공되며 디지털 조사관, 신뢰할 수 있는 반복, 방어, 철저하게 문서화된 방식으로 이 작업을 수행할 수 있도록 법적 고려사항이 논의된다.
악성코드 포렌식과 다르게 악성코드 조사와 분석은 기술과 관련 도구를 입증하기 위해 텍스트를 통해 실제의 시나리오를 사용한다. 이 책은 전략적인 용도와 실용적인 용도 모두를 위해 노력하고 있으며, 현장에서 사용하기 위한 간결한 개요 형식으로 구성했고 현장과 분석실에서 사용할 수 있도록 구성 요소와 온라인 리소스를 추가하고 별개의 그래픽 아이콘으로 상호 참조하도록 했다.
★ 옮긴이의 말 ★
리눅스와 보안은 IT 분야에서 (비록 뭐하나 잘하고 있지는 못하지만) 지금의 내가 있게 해준 주요 키워드라고 할 수 있다. 처음 리눅스를 접한 1990년 초만 하더라도, 리눅스는 운영체제를 공부하는 사람에게 기껏해야 그저 고가의 유닉스 클론(내지는 흉내 내는 것)이나 공부를 위한 교보재 정도로만 여겨졌을 뿐(적어도 내겐 그랬다.), 지금과 같이 전 세계적으로 이용되며 기존의 유닉스를 비롯한 여러 상용 운영체제와 어깨를 나란히 하고 심지어 그것들을 뛰어넘어 대체하게 되리라고는 꿈에도 상상할 수 없는 일이었다. (전 세계의 수많은 오픈소스 개발자들에게 영광을!) 그러다 보니, 어쩌면 불가피하게도 악의적인 공격자(더 이상 ‘해커’라는 단어를 나쁜 의미로만 사용하지는 말자.)에게는 아주 매력적이고도 흥미로운 목표로 더욱 뚜렷하게 인식되고 있다.
이 책은 이와 같이 수많은 오픈소스의 대표격으로 높은 신뢰와 인기를 얻고 있는 리눅스 운영체제를 목표로 하는 보안 사고의 대응 실무에 필요한 기법을 다루고 있다. 1장에서는 리눅스 시스템 포렌식에 필요한, 다양한 환경에서 악성코드를 수집하는 기법을 설명하고, 2장에서는 리눅스의 메모리 포렌식을 집중적으로 다루며, 3장에서는 리눅스 시스템을 부검하는 방법에 대해 설명했다. 4장에서는 이러한 작업을 진행함에 있어서 반드시 고려해야 하는 법적인 고려사항과 관련 자료를 언급하고, 5장에서는 6장에서 진행할 정적, 동적 분석 방법에 필요한 프로파일링 기법과 도구를 설명한다. 마지막으로 6장에서는 정적, 동적 분석 방법을 통한 의심스러운 프로그램의 분석에 대해 설명한다. 이렇듯, 이 책은 리눅스 시스템의 포렌식에 필요한 포괄적이며 실무적인 기법과 필요한 도구를 설명함으로써 실무자들에게 필요한 실질적인 지식과 이해를 제공하는 것을 목표로 한다.
이러한 심도 있고 어려운 주제에 관한 책을, 지금껏 실무를 담당하며 경험을 쌓아온 우리 역자들이 모여 공동으로 번역을 진행했다. 여러 명의 역자가 6개의 장을 나눠 번역을 진행한 만큼 문체와 어감을 통일시키는 것이 중요했고, 그만큼 많은 노력을 기울였다. 문학 전공과는 거리가 먼 우리들이 영어 문장을 우리 말과 글에 어울리게, 그리고 문
