할랜 카비의 유형별 침해 윈도우 분석 사례집

윈도우 시스템의 포렌식 분석 기법에 관한 다수의 책을 출간한 할랜 카비의 새로운 책이다. 이 책에서는 인터넷상에 공개된 다양한 유형의 침해 윈도우 이미지를 분석가가 분석 목표와 계획을 수립하고, 이를 분석해 가는 과정을 기술하고 있다. 침해 시스템을 분석하는 전반적 과정과 상황에 맞게 적용해야 할 분석 기술 등 할랜 카비의 숙련된 노하우를 얻을 수 있을 것이다. 악성코드 찾기, 해킹 행위 분석하기, 데이터 유출 분석하기, 사용자 행위 분석하기, 침해 웹 서버 분석하기 등 주요 침해 유형을 고루 다룬다.

1장. 분석 절차
__소개
__분석 절차
____목표
____분석 계획
____보고
____교훈
__이 책에서 다루는 내용

2장. 악성코드 찾기
__소개
__악성코드 찾기: 윈도우 XP
____이미지 형식
____분석 목표
____이미지 조사
____타임라인 구성
____시스템 시간 변경
____악성코드 문서화
____분석 요약
____분석 포인트
__악성코드 찾기: 윈도우 7
____분석 목표
____이미지 조사
____타임라인 구성
____USB 장치 분석
____분석 요약
____분석 포인트
__마무리

3장. 사용자 행위
__소개
__CFReDS 해킹 이미지
____분석 목표
____분석 계획
____타임라인
____추가 데이터
____요약
____교훈
__데이터 절도
____분석 목표
____분석 계획
____연결된 장치
____데이터 도난
____아웃룩 PST 파일
____기타 데이터 소스
____요약
____교훈
__조의 PC
____분석 목표
____분석 계획
____분석
____ThumbCache 데이터베이스 내용 보기
____충분함
____요약
____교훈

4장. 웹 서버 침해
__소개
__윈도우 2008 웹 서버
____분석 목표
____분석 계획
____데이터 추출
____분석
____결과
____요약

5장. 테스트 환경 구성
__소개
__테스트 환경 구성
____설정
____테스트와 문서화
__파일 시스템 터널링
__파일 삭제
__볼륨 셰도우 카피
__마치며

★ 이 책에서 다루는 내용 ★■ 자세한 분석 절차와 단계별 분석 방향 결정 방법을 제공해 주요 발견이 어떻게 이뤄지는지 이해할 수 있다.
■ 악성코드 탐지, 사용자 활동, 웹 서버 침해 분석 및 테스트 환경 설정
■ 윈도우 XP, 윈도우 2008, 윈도우 7, 윈도우 10과 같은 윈도우 플랫폼 포함
■ 디지털 포렌식 분석과 침해사고 대응 분야에 종사하는 독자 대상를 대상으로 하는 초/중급서★ 이 책의 대상 독자 ★이 책은 분석 업무에 대한 기본 지식이 전혀 없는 초보 분석가를 대상으로 쓴 책은 아니다. 이 책은 다양한 데이터 소스에 대해 기본적으로 이해하고 있거나 자신의 분석 경험을 통해 얻은 지식의 부족함을 메우려는 사람을 대상으로 한다. 이 책을 최대한 활용하기 위해서는 최소한의 이해와 경험을 필요로 한다.
이 책의 독자들은 $MFT 레코드의 기본적인 구성 요소를 이해하고 있고, 그들이 궁금한 점이 있다면 브라이언 캐리어(Brian Carrier)의 『파일 시스템 포렌식 분석(File System Forensic Analysis)』 책을 살펴보거나, 블로그, 멘토 등을 통해 이해가 가지 않는 부분을 해결할 수 있을 거라 가정한다.
또한 독자들은 이미 타임라인을 생성해야 하는 이유와 그 방법을 이해하고 있다고 가정한다. 독자들이 이 책을 읽는 동안 실제로 타임라인을 만드는 것이 중요한 것은 아니지만, 그 방법을 이해하고 있다고 가정할 것이다.
이 책에 수록된 분석 예제 중 타임라인을 전부 제공하는 것은 적절하지 않아 발췌해 수록했다. 타임라인은 재현하기 쉬운 만큼 보는 데 문제가 없을 것이다.
추가로 이 책에서는 많은 무료 도구와 오픈소스 도구들을 사용한다. 경우에 따라서는 요구에 맞게 코드를 개발하거나 수정하고, 코드에 대한 설명을 제공하기도 한다.★ 이 책의 구성 ★1장, ‘분석 절차’에서는 분석 절차와 그 의미에 대해 논의를 시작한다. 내 경험에 따르면 대부분의 분석가는 분석을 반복적으로 처리할 뿐 절차로 생각하지 않는다. 1장에서 이것이 무엇을 의미하는지를 확인하고, 사건 노트를 통해 분석을 문서화하는 필요성에 관해 이야기한다.
2장, ‘악성코드 찾기’에서는 윈도우 시스템 이미지에서 악성코드를 찾는 방법을 알아본다. 하지만 악성코드의 역공학 분석에 대해서는 다루지 않는다. 이미 이 분야에는 내가 다룰 수 있는 것보다 훨씬 더 자세히 다루고 있는 책과 자료들이 많기 때문이다. 다양한 버전의 윈도우 운영체제에서 악성코드를 찾는 예를 제공하는 것에 초점 두고 설명한다.
3장, ‘사용자 행위’에서는 몇 가지 윈도우 시스템에서 사용자 행위에 대해 살펴본다. 다양한 윈도우 버전에 훌륭하게 구성된 데이터들을 제공하고, 데이터를 어떻게 분석에 적용할 수 있는지도 살펴본다.
4장, ‘웹 서버 침해’에서는 웹 서버 침입 분석에 대해 다룬다. 알리 하디(Ali Hadi, 트위터 계정 @binary0ne)는 웹 서버가 동작 중인 윈도우 2008 시스템을 기반으로 잘 만들어진 분석 챌린지 문제를 제공했다. 이 분석 연습은 서버로부터 획득한 디스크 이미지보다 더 많은 것을 포함하고 있다. 챌린지 문제에는 메모리 덤프와 그 이미지 자체에 웹 서버 로그를 포함하고 있다. 따라서 단순히 수집된 이미지보다 훨씬 더 많은 통합 분석을 할 수 있다.
5장, ‘테스트 환경 구성’에서는 테스트 환경의 설정을 다룬다. 그리고 이 환경을 이용해 개념과 테스트 이론을 확인하는 방법을 설명한다. 테스트된 개념은 요즘 인기 있고 현란한 최신의 것일 필요는 없다. 특히 전문적인 공격자를 추적하는 분야에서는 파일과 운영체제 기능의 기본을 이해하는 것이 훨씬 중요하다.
예를 들면 시스템에서 파일이 어떻게 사라지는지에 대해 이론화하는 것이다. 어느 한 시점에 시스템에 존재했지만, 파일이 삭제됐을 때 무슨 일이 있었는지를 이해하지 못한다면 그것을 어떻게 증명할 수 있는가? 또한 NTFS 파일 시스템 내의 파일이 ‘resident’하다는 것은 무슨 의미인가? 여러분은 이 질문에 대해 책에 기술된 답변을 외울 수 있는가? 또는 그러한 상황을 경험했을 뿐만 아니라 적극적으로 연구하고 증명을 통해 알고 있는가? 이제, 이에 대해서 알아보자. ★ 옮긴이의 말 ★대부분의 보안 분야가 그렇듯 디지털 포렌식은 이미 존재하는 소프트웨어나 하드웨어의 기술을 후행한다. 즉, 기존 기술에 의존적인 분야다. 디스크, 메모리, 네트워크, 운영체제, 파일 시스템, 애플리케이션 등에 따라 각각의 포렌식 기술이 존재하며, 새로운 제품이나 기술이 등장하면 그에 따른 새로운 분석 기술이 필요하다. 따라서 포렌식 분석 기술은 매우 다양하며, 계속해서 그 수와 범위가 늘어난다. 윈도우 시스템과 관련된 포렌식 기술만 하더라도 수십, 수백 가지다.
그렇다면 포렌식 분석할 때 어떤 기술을 언제 어떻게 사용해야 할까? 포렌식 분야 서적을 통해 배운 A부터 Z까지의 분석 기술을 순서대로 적용하면 될까? 실제로 그런 식으로 분석을 진행한다면 몇 년간 분석해도 끝나지 않을 수도 있다.
대부분의 포렌식 분석은 제한된 시간 내에 제한된 리소스를 가지고 수행해야 하기 때문에 분석가는 분석 대상 시스템, 아티팩트, 분석 기법 등을 선별(triage)해야 한다. 이를 위해서는 분석 목표를 뚜렷하게 세워야 한다. 그리고 분석 목표에 맞는 분석 계획을 세우고, 최대한 계획에 따라 분석을 진행해야 한다. 그렇지 않으면 분석 중에 길을 잃기 십상이다. 분석 계획이 있더라도 프로그램 개발하듯이 순서대로 진행하기 쉽지 않은데, 분석 계획도 없이 무턱대고 분석을 시작하면 본문에 언급된 것처럼 바로 토끼굴 행이다. 포렌식 분석을 실제 해본 사람은 이와 같은 경험이 있을 것이다. 그래서 포렌식 분야는 기술적 지식도 중요하지만 체득된 경험이 중요한 분야인 것 같다.
이 책에서는 악성코드 찾기, 해킹 행위 분석하기, 데이터 유출 분석하기, 사용자 행위 분석하기, 침해 웹 서버 분석하기 등 주요 침해 유형을 고루 다루고 있다. 분석 테크닉 외에도 왜 그 타이밍에 그 아티팩트를 분석했는지와 같은 분석 흐름에 집중하면, 특히 글로 포렌식을 배운 경험이 부족한 초보 분석가에게 도움이 될 것이다.
이 책에 녹아있는 저자의 생각과 분석 경험은 나 역시 평소에 포렌식 분석 업무를 수행하면서 고민해왔던 주제였기 때문에 자식을 낳아 길러봐야 부모의 마음을 조금이나마 헤아릴 수 있다는 말처럼, 이 책을 번역하는 도중 여러 번 무릎을 치며 저자의 말에 공감할 수 있었다.
포렌식 공부를 시작한 2006년경 국내에는 국내 서적뿐만 아니라 번역서조차 없었다. 그래서 영어 원서나 인터넷을 통해 포렌식 기술을 접할 수밖에 없었는데, 당시에 윈도우 포렌식을 공부하기 위해 열심히 읽었던 책이 바로 『Windows Forensic Analysis DVD Toolkit』(Syngress, 2007)이었다. 그리고 그 책의 저자는 할랜 카비였다. 할랜 카비의 서적을 번역하게 돼 마치 스승님의 책을 번역하는 듯한 신기한 감정이 든다.
이 책을 통해 많은 분석가가 분석하면서 토끼굴로 내려가지 않고 분석의 방향을 잃지 않게 되기를 바란다.
포렌식 분야를 시작하면서 항상 마음에 새기고 있는 문구를 소개하며 마친다.
“As you can see as much as you know(아는 만큼 보인다)”

회원리뷰 총 0개

리뷰작성 새 창

사용후기가 없습니다.

등록된 상품문의

상품문의 총 0개

문의작성 새 창

상품문의가 없습니다.

[반품/교환가능 기간]

변심반품의 경우 수령 후 14일 이내, 상품의 결함 및 계약내용과 다를 경우 문제점 발견 후 30일 이내

[반품/교환비용]

단순 변심 혹은 구매착오로 인한 반품/교환은 반송료 고객 부담

[반품/교환 불가 사유]

- 소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우

(단지 확인을 위한 포장 훼손은 제외)

- 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우

예) 화장품, 식품, 가전제품(악세서리 포함) 등

- 복제가 가능한 상품 등의 포장을 훼손한 경우

예) 음반/DVD/비디오, 소프트웨어, 만화책, 잡지, 영상 화보집

- 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 ((1)해외주문도서)

- 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우

- 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우

- 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우

* (1) 해외주문도서 : 이용자의 요청에 의한 개인주문상품으로 단순변심 및 착오로 인한 취소/교환/반품 시

‘해외주문 반품/취소 수수료’ 고객 부담 (해외주문 반품/취소 수수료 : ①양서-판매정가의 12%, ②일서-판매정가의 7%를 적용)

[상품 품절]

공급사(출판사) 재고 사정에 의해 품절/지연될 수 있으며, 품절 시 관련 사항에 대해서는 이메일과 문자로 안내드리겠습니다.

[소비자 피해보상, 환불지연에 따른 배상]

- 상품의 불량에 의한 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결 기준 (공정거래위원회 고시)에 준하여 처리됩니다.

- 대금 환불 및 환불지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리함.