내가 속한 CERT 팀에서는 자체적으로 악성코드 분석을 하는 대신 AV 솔루션 벤더사(Ahn LAB)에 악성코드를 신고하여 분석을 의뢰한다. 시간 및 전문성적인 측면에서 의뢰하는 것이 효율적이라고 생각하고 있었기 때문이다.
그런데, 최근 입사하신 경력자분이 직접 악성코드 분석을 하시는 것을 보고 생각이 달라졌다.
간단하게라도 직접 악성코드 분석을 함으로써
1. 판단을 내려야 하는 중요한 시점에 AV 솔루션 벤더사에서 내린 '오진단'을 잡아낼 수 있었고
2. 외부 업체에 악성코드 분석 의뢰를 할 수 없는 민감한 케이스에 대해서도 분석이 가능할 수 있었다.
결론적으로 악성코드 분석은 내부에서 직접 할 수 있어야 한다는 생각을 했다.
해킹방어대회용 문제풀이형 리버싱 말고, 실제 악성코드 분석에 대해서 접하고자 교육을 신청해서 듣게 되었다.
교육 개요는 아래와 같다.
1. 악성코드 개요 및 행위분석
- 악성코드의 특징
- 악성코드 행위분석
2. 침해사고 대응 절차
- 주요 프로세스 분석
- 주요 레지스트리 및 네트워크 분석
3. 시나리오 기반 탐지 및 분석
- 악성코드 시나리오 탐지 및 분석(1)
- 악성코드 시나리오 탐지 및 분석(2)
4. 악성코드를 이용한 공격 대응 실습훈련
- 훈련 컨텐츠를 이용한 악성코드 공격대응 실습 및 모의훈련
- 악성코드 대응
. 네트워크 및 시스템에 대한 악성코드 영향파악
. 악성코드 분석, 악성코드와 일반코드 구분 및 대응
개인적으로, 악성코드에서 자주 쓰이는 개발 패턴(주요 함수, callback 등) 을 직접 짜보는게 더 감이 확실하게 올것 같다. 교육이 끝나면, 시나리오별로 어떤 악성코드가 있고 어떻게 분석해야 했는지 정리해서 올릴 예정이다.
리버싱... 쉽지 않다.
화이팅.
댓글