English | Join | Login | Contact us
악성코드 역공학: 악성코드 분석도구 및 기법(FOR610) SANS 과정 더보기
악성코드 역공학: 악성코드 분석도구 및 기법
GIAC GREM 자격증 | 36 CPE/CMU

개요

인기있는 본 과정은 악성코드 분석 도구 및 기법을 깊이 있게 탐구합니다. FOR610 교육과정을 통해 포렌식 조사관, 사고대응가, 보안 엔지니어 및 IT 관리자가 윈도 시스템을 대상으로 감염시키는 악성 프로그램을 조사하는 실무적인 기술을 습득할 수 있습니다.

악성코드의 기능을 이해하는 것은 위협 인텔리전스를 도출하고 정보보호 침해사고에 대응하며 방어를 강화할 수 있는 조직의 역량에 중요합니다. 본 과정은 다양한 시스템 및 네트워크 모니터링 유틸리티, 디스어셈블러, 디버거 및 기타 많은 무료 도구를 사용하여 악성 소프트웨어 역공학을 위한 강력한 기반 기술을 구축합니다.

본 과정은 자동화된 분석 도구의 결과를 확장하는 방식으로 악성코드 분석 기반 구축하는 것으로 시작됩니다. 악성 소프트웨어의 내부 동작을 조사하기 위해 유연한 시험실을 구축하는 방법과 실제 악성코드 샘플의 특성을 밝히기 위해 시험실을 사용하는 방법을 배우게됩니다. 또한 시험실에서 네트워크 트래픽을 리디렉션하고 가로채는 방법을 통해 악성 프로그램과 상호 작용하여 샘플의 기능을 탐색할 수 있습니다.

본 과정은 리버스 엔지니어링과 관련된 필수적인 어셈블리 언어 개념을 논의합니다. 디스어셈블러 및 디버거를 사용하여 주요 구성 요소와 실행 흐름을 이해하고 악성코드를 조사하는 방법을 배우게됩니다. 또한 악성 프로그램이 사용하는 의심스러운 윈도 API 패턴을 조사하여 일반적인 악성코드의 특징을 식별하는 방법을 배우게됩니다.

다음으로 웹 생태계에서 번성하는 악성코드의 세계를 분석하고, 의심스러운 웹 사이트를 평가하는 방법을 탐색하고 악성 자바스크립트 탈난독화하여 공격의 성격을 이해하게됩니다. 악성 오피스 문서, RTF 및 PDF 파일을 분석하는 방법에 대해서도 배우게됩니다. 이러한 문서는 주요 공격 및 표적형 공격의 일부로 일반적인 감염 벡터의 역할을 합니다. 또한 "파일이없는" 악성코드 및 악성 PowerShell 스크립트를 조사하는 방법을 배우게 됩니다.

악성코드는 분석 작업을 방해하기 위해 난독화되어 있으므로 실행 파일의 압축을 푸는 기술을 제공합니다. 디버거 및 추가 특수 도구를 사용하여 메모리에서 이러한 프로그램 덤프 방법과 압축 프로그램의 보호기능을 우회하여 파일의 구조를 다시 작성하는 방법을 배웁니다. 또한 루트 \킷 기능을 나타내는 악성코드를 검사하여 시스템에 존재 여부를 숨기고 코드 분석 및 메모리 포렌식 접근법을 사용하여 이러한 특성을 조사하는 방법을 배우게 됩니다.

FOR610 악성코드 분석 교육은 자체 보호 기능이 있는 악성 소프트웨어를 처리하는 방법을 가르칩니다. 코드 익젝션, 샌드 박스 회피, 흐름 오류 및 기타 조치를 포함하여 일반적인 자체 방어 조치를 인식하고 우회하는 방법을 배웁니다.

본 과정의 마지막날에는 수업에서 배운 기술을 강화하고 재미있는 환경에서 실무적인 악성코드 분석 기술을 익힐 수 있도록 CTF 과제로 마무리됩니다.

실습 워크숍은 본 과정의 중요한 부분입니다. 악성 소프트웨어를 제어하고 체계적으로 조사하여 악성코드 분석 기술을 적용 할 수 있습니다. 실습할 때 제공되는 샘플의 행위 패턴을 연구하고 코드의 핵심 부분을 조사하게됩니다. 이러한 활동을 지원하기 위해 악성코드 조사 및 상호 작용 을위한 도구가 포함된 사전 구축된 윈도 및 리눅스 가상 시스템이 제공됩니다.

FOR610 학습내용 요약

  • 악성 프로그램의 코드 및 동작을 분석하기 위한 격리된 시험실 환경 구축
  • 네트워크 및 시스템 모니터링 도구를 사용하여 윈도 환경에서 악성 프로그램이 파일 시스템, 레지스트리, 네트워크 및 기타 프로세스와 상호 작용하는 방식을 조사
  • 드라이브 바이(drive-by) 공격을 위해 익스플로잇 키트에서 자주 사용되는 웹 페이지의 악성자바스크립트 및 기타 구성 요소를 찾아 분석
  • 효과적인 악성코드 분석을 위해 네트워크 트래픽 가로 채기 및 코드 패치를 통해 악성 프로그램 동작의 관련 측면을 제어
  • 디스어셈블러와 디버거를 사용하여 악성 윈도 실행 파일의 내부 동작 조사
  • 악성코드 개발자가 설계한 다양한 패커 및 기타 방어 메커니즘 우회기법
  • 코드 인젝션, API 후킹 및 분석 방해 조치와 같은 악성코드의 일반적인 어셈블리 수준의 패턴을 인식하고 이해
  • PDF 및 오피스 파일과 같은 악성 문서와 관련된 위협 평가
  • 사고대응 및 위협 인텔리전스를 강화하기 위해 악성 실행 파일로부터 해킹지표(IOC) 추출
공유하기
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락
공지사항
문의
채용정보
공인강사지원
English
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2018 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.