0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판

0과 1의비밀을밝히는악성코드분석가

2015.11.17 (v1.0)

안랩시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임연구원

악성코드분석가소개

© AhnLab, Inc. All rights reserved. 2

알림

• 본발표자료는개인의견으로

안랩의공식입장과다를수있습니다.

•덕질자료가포함되어있을수있습니다.


:~$whoami

Profile

− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)

− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작

− 1989년 : Brain virus 변형 감염

− 1997년 : AhnLab 입사

− AhnLab 책임 연구원 (Senior Antivirus Researcher)

− 시큐리티 대응센터(ASEC) 분석팀에서

악성코드 분석 및 연구 중

- 민간합동 조사단, 사이버보안전문단

- AVED, AMTSO, vforum 멤버

- Wildlist Reporter


• 보안이완벽한시스템은이세상에없어

- 내용 (2Depth)

* Source : War Games (1983)

Contents

01

02

03

04

05

06

07

보안위협과정보보안

정보보안업계와전망

악성코드분석가

악성코드분석가의일상

필요한능력과마음가짐

어떻게준비할까 ?

맺음말

01

보안위협과정보보안


보안위협 (Security Threats)

• 보안위협종류

-자연및인간의의한위협존재 인간의경우악의적의도에따라나눔

-인간에의한위협의경우악의적의도에따라나눔

* Source : http://technet.microsoft.com/en-us/library/Cc723507.secthr01_big(l=en-us).gif


보안위협 (Security Threats)

• 보안위협

-적절한보안관리과정책으로차단가능

- 공격자는허점(보안취약점등)을이용한공격시도

출처 : http://technet.microsoft.com/en-us/library/Cc723507.secthr02_big%28l=en-us%29.gif


정보보안(보호)

• 정의

- “사고또는고의에의한인가되지않은노출, 전송, 변경, 또는파괴로부터정보를보호하는것“

- The protection of information against unauthorized disclosure, transfer, modification, or destruction, whether accidental

or intentional.” (Information Warfare, July 1996)

• 목표

- 기밀성, 무결성, 가용성을지키는일

공개로부터의 보호

변조로부터의 보호

파괴/지체로부터의 보호

Confidentiality비밀성/기밀성

Integrity무결성

Availability가용성


정보보안(보호)

• 주요목표

-기밀성(機密性, confidentiality) : 허락되지않은사용자또는객체가정보의내용을알수없도록함. 비밀보장이

라고할수있음. 원치않는정보의공개를막는다는의미에서프라이버시보호와밀접한관계

-무결성(無缺性, integrity) : 허락되지않은사용자또는객체가정보를함부로수정할수없도록하는것. 수신자

가정보를수신했을때, 또는보관돼있던정보를꺼내보았을때그정보가중간에수정또는첨삭되지않았음을확

인

- 가용성(可用性, availability) : 허락된사용자또는객체가정보에접근하려하고자할때이것이방해받지않도록

하는것. 최근에네트워크의고도화로대중에많이알려진서비스거부공격(DoS공격, Denial of Service Attack)이이

러한가용성을해치는공격

02

정보보안업계와전망


사이버보안

• 분류

* Source : CodeEngnConference 10_사이버보안커리어로드맵_[김경곤].


보안업계

분야

• 물리적보안

• 네트워크보안

• PC 및호스트보안

• Patch Management

• 보안관제

• 웹보안

• DB 보안

•DRM

•암호등


전망

미래유망직종

• 미래유망직종으로분류

-대략1999년부터미래유망직종으로분류


전망

보안의핵심은제품이아닌인력

• 사고터질때마다

- 화이트해커, 정보보안인력양상기사화


전망


• 분석가의중요성

- 제품에의존한보안의종말

* source : http://www.dt.co.kr/contents.html?article_no=2011062102012251697001


전망


• 분석가를필요로하는업체

-보안업체 (백신, 관제, 침입탐지 등)

-기업 (게임, 대기업등)

-군

-공공기관

-국가기관

-연구소

-수사기관

-법률회사

-방산업체등


진로

• 보안업무추천?

-

* Source : http://www.boannews.com/media/poll_02.asp?db&page=1&gpage=1&idx=149&search&find

03




바이러스치료사 ? 보안전문가 ?

• 바이러스치료사

- 1990년중반새롭게나타난공식직업이름



상상



편견혹은오해

Difficult ?!

Hard ?!

Boring ?!



현실

• 일시작후느낌

-자칫하면시그니처작성위주의단순반복업무라고느낄수있음

-높은업무강도

-보안은잘할때는표가안나지만못하거나실수하면비난

• 어느정도일했을때느낌

-새로운악성코드등장과기술적도전

-다양한업무

-협력의필요성

-외국어필요성


악성코드분석가업무

악성코드분석및대응

- 악성코드 분석 및 연구

- signature/rule 및 전용 백신 제작

- 신종 악성코드 대응 방안 마련

- 악성코드와경쟁사 동향 파악

- 인증

내부지원

- 사고 조사 지원

- 제품 개발 지원

- 제품 문제 해결 지원

- BMT 지원

개발과문서작업

- 분석도구와내부 시스템 개발

- 프로세스 개선

- 분석 정보, 기술 문서, 동향, 칼럼 작성

대외협력

- 타 업체, 기관, 정부 등과 협력

- 학교 강의와 컨퍼런스 발표

- 언론 지원

- 기술자문

하는일



• 예측

- 변화하는보안위협에서앞으로공격방식예측

* source : http://news1.kr/articles/1060747, http://www.segye.com/Articles/News/Opinion/Article.asp?aid=20130326004012



• 분석보고서작성

-

* Source :



• 언론대응및인터뷰

- 사실여부확인



• 언론지원및인터뷰

- 연출된사진들


주요업무

• 발표

-

* Source : SERI CEO



기술자문

• 기술자문

- 드라마, 방송, 영화등

04

악성코드분석가의일상


일상

• 하루일과

-메일확인

-보안이슈파악

-보안이슈분석

-악성코드분석

-회의

-문서작성

05

필요한능력과마음가짐


윤리

백신업체

• 병을고치는의사와같이전염병이퍼져돈을벌어야한다고생각하지않음

• 정보교류는신뢰할수있는업체와개인연구원간에이뤄지며금품거래는없어야함

• 악성코드제작자와 직간접적으로도움을준사람을채용하지않음

• 연구목적이라해도바이러스/웜을제작을하지않음

기사 : http://www.dt.co.kr/contents.htm?article_no=2012032002012269785002


윤리

금지사항

• 악성코드제작

-연구목적으로바이러스/웜제작

-공개된소스코드를이용한웜, 바이러스제작

-트로이목마는가능한가라는논란존재

-취약점증명은어느정도허용되는분위기

• 악성코드제작자에도움을줄수있는행동

- 신뢰할수없는사람혹은단체에샘플제공

- 제작에필요한정보제공

-악성코드제작을조장하는발언


윤리

딜레마

• 모든고객을보호해야하는가? (고객이독재자라면?)

• 외국에대해애국심으로행해지는공격은방관해야하는가?

• 수사를위해제작된악성코드에대한진단은?

• 자국이익을위해제작한악성코드에대한진단은?


윤리

올바른윤리의식이없을경우

• 10대도돈을벌수있지만…

- 결국경찰서행

* source : http://news1.kr/articles/1063565

© AhnLab, Inc. All rights reserved.

LANGUAGE

SYSTEM

CODING

Reverse Engineering

Windows Internals

기본적인 보안 지식

강한 스트레스 내성

지속적인 연구

KNOWLEDGE

PASSION

C

윈도우 프로그래밍

Python

빠른 정보수집을 위한

외국어 능력(영어,

중국어, 러시아 등)

운영체제

시스템 프로그래밍

자료구조

Network

Analyst

필요한능력


필요한능력

• 덕력

-

* Source : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151026163442


필요한능력

악성코드분석

• Reverse Engineering

-시스템

-어셈블리

-분석도구사용법

-경험

• 악성코드분석

- Reverse Engineering

- 악성코드기법

- 수집정보정리


필요한능력

참고도서

• 시스템

-Windows Internals

-API로배우는Windows 구조와원리

-Windows 구조와원리

• 리버스엔지니어링

- Windows Debugging

- The IDA PRO Book

-리버싱핵심원리

• 보안

- Virus Research and Defense

-악성코드그리고분석가들

http://book.naver.com/bookdb/?bid=1465997





필요한능력


- 입문서


필요한능력


-


필요한능력

• Windows Internals

-


필요한능력

• Windows 구조

-


필요한능력

• OS X

-


마음가짐

필요한자세

• 맨땅에헤딩

• 인내와끈기, 집중력

• 열정과노력

• 재미, 동기부여

• 믿음과끊임없는노력

• 호기심, 관심


마음가짐

덕목

• 도덕성/윤리의식

- 그렇지않으면더위험한존재

• 신뢰감/자신감

- 고객과약속지켜야함

- 끝까지해낼수있다는자신감

• 도전정신

- 확고한목표와관심

- 새로운보안위협에대응한계속된공부

• 사명감

- 위협으로부터고객의보호가당연한의무와책임

-일을즐겨라


마음가짐

관심과열정


능력

행운

• 운도능력

- 하지만, 준비된사람에게운이다가갈가능성이높음


마음가짐

06

어떻게준비할까 ?


잠깐 !!

다양한방법중하나일뿐

• 자신에게맞는방법찾기

* Source : http://blog.daum.net/winnerheart/70


경험

정말필요한다양한경험

* Source : http://hompy-img.dreamwiz.com/IMAGE/smart63/f00002/f163m/경험.jpg

07

맺음말


결론


=

쉽지않지만

관심을가지고꾸준히노력한다면

결코

어렵지않은일 !


현재의보안문제

• Not really a fair fight

* source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png


현재의보안문제

• 모두가함께해야하는보안

* source : http://www.security-marathon.be/?p=1786


Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

D E S I G N Y O U R S E C U R I T Y

0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판

Technology

Transcript of 0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판