쿡쿠 샌드박스 구축과 확장 + 운영 팁

쿡쿠 샌드박스는 오픈소스로 제작된 악성코드 자동 분석 시스템으로 끊임 없이 새로운 기능을 도입하고 새로운 악성코드 분석의 트렌드를 선도한다. 많은 기업과 연구가들이 쿡쿠 샌드박스를 구축하고 추가 개발을 통해 확장하는 흐름을 가진다. 이 책은 쿡쿠 샌드박스를 구축하고, 이 도구에서 지원하는 다양한 오픈소스 도구들을 추가 구축하는 방법을 다룬다. 그 외에 구축하면서 함께 알아두면 좋을 기술과 저자가 쿡쿠 샌드박스를 연구하면서 경험한 팁을 공유한다. 대표적인 팁으로 악성코드 샘플을 무료로 수집할 수 있는 곳, 위협 인텔리전스와 접목할 수 있는 요소 등을 소개한다.

[목 차]

1편. 쿡쿠 샌드박스 개요 및 인프라 구성

1장. 쿡쿠 샌드박스 개요

-제 1절 악성코드와 악성코드 분석
-제 2절 인텔리전스와 악성코드
-바이러스토탈
-urlscan.io
-Malwr.com
-ThreatMiner.org
-말테고
-제 3절 오픈소스와 라이선스
-제 4절 샌드박스와 하이퍼바이저

제 2장. VM웨어 워크스테이션 설치 및 가상머신 생성

-제 1절 가상화 기술 확인 및 설정
-제 2절 VM웨어 워크스테이션 다운로드 및 설치
-제 3절 VM웨어 워크스테이션 설정
-사설 네트워크 IP 대역 설정
-가상머신 저장 위치 설정
-제 4절 가상머신 생성

제 3장. 운영체제 설치

-제 1절 우분투 16.04 LTS AMD64 Desktop 설치 및 설정
-제 2절 우분투 데스크톱 네트워크 설정
-제 3절 우분투 업데이트 비활성화
-제 4절 우분투 데스크톱 VMware tools 설치

2편. 쿡쿠 샌드박스 기본 구축 및 운영

제 4장. 쿡쿠 샌드박스코어 설치

-제 1절 기본 구성 패키지 및 C 라이브러리 설치
-제 2절 쿡쿠 샌드박스 코어 설치
-제 3절 샌드박스 구성
-가상머신 다운로드 및 가져오기
-샌드박스 구성
-제 4절 데이터베이스 구성
-스케줄링 데이터베이스 구성
-웹 서비스 데이터베이스 구성
-제 5절 기본 운영을 위한 쿡쿠 샌드박스 설정
-cuckoo.conf 설정
-virtualbox.conf 설정
-reporting.conf 설정
-제 6절 쿡쿠 샌드박스 엔진 및 웹 서비스 실행

제 5장. 쿡쿠 샌드박스 기본 운영

-제 1절 웹 서비스 운영의 이해
-제 2절 악성코드 수집 방법
-제 3절 악성코드 분석 요청 방식
-좌측 제어 창
-가운데 제어 창
-우측 제어 창
-제 4절 악성코드 분석 요청에 따른 상태 변화

제 6장. 악성코드 분석 결과

-제 1절 요약 정보
-파일 영역
-점수 영역
-동작 정보 영역
-제 2절 정적 분석 정보
-정적 분석
-문자열
-안티바이러스
-IRMA
-제 3절 흔적 추출 정보
-제 4절 행위 분석 정보
-제 5절 네트워크 분석 정보
-호스트
-DNS
-TCP
-UDP
-HTTP(S
-ICMP
-IRC
-수리카타와 스노트
-제 6절 드롭 파일 정보
-제 7절 드롭 버퍼 정보
-제 8절 프로세스 메모리 정보
-제 9절 비교 분석 정보
-제 10절 분석 결과 다운로드
-제 11절 기타 기능
-재 분석
-옵션
-피드백
-사이드바 잠금

제 7장. 쿡쿠 샌드박스 응용 운영

-제 1절 쿡쿠 코어의 기능
-제 2절 Nginx, uWSGI 서버 구축
-제 3절 쿡쿠 웹 서비스 운영을 위한 web
-Nginx와 uWSGI를 이용한 WEB 서버 운영
-제 4절 편리한 원격 제어를 위한 api
-Nginx와 uWSGI를 이용한 API 서버 운영
-분석 요청 관련 쿡쿠 API
-분석 결과 관련 쿡쿠 API
-운영 관련 쿡쿠 API
-제 5절 분석 데이터 초기화를 위한 clean
-제 6절 쿡쿠 확장을 위한 community
-제 7절 설정 초기화를 위한 init
-제 8절 샌드박스 설정 제어를 위한 machine
-가상머신 복제
-두 번째 샌드박스 설정
-새로운 샌드박스 등록 및 운영
-제 9절 보고서 처리를 위한 process
-악성코드 분석과 보고서 생성 프로세스 분리
-제 10절 터미널에서 악성코드 분석 요청을 위한 submit
-제 11절 분산처리 시스템을 위한 distributed
-제 12절 네트워크 라우팅을 위한 rooter

3편. 쿡쿠 샌드박스 확장 운영

제 8장. supervisor를 이용한 쿡쿠 샌드박스 서비스 관리 구성

제 9장. 엘라스틱서치 데이터베이스를 활용한 검색 기능 확장

-제 1절 엘라스틱서치 설치
-제 2절 엘라스틱서치와 쿡쿠 샌드박스 연동

제 10장. 볼라티리티를 이용한 메모리 분석

-제 1절 볼라티리티 설치
-제 2절 볼라티리티와 쿡쿠 샌드박스 연동
-제 3절 쿡쿠 샌드박스의 메모리 분석
-제 4절 베이스라인 분석

제 11장. 스노트를 이용한 네트워크 패턴 탐지

-제 1절 스노트 설치
-제 2절 스노트와 쿡쿠 샌드박스 연동

제 12장. 수리카타를 이용한 네트워크 패턴 탐지

-제 1절 수리카타 설치
-제 2절 수리카타와 쿡쿠 샌드박스 연동

제 13장. 몰록을 이용한 네트워크 포렌식

-제 1절 몰록 설치
-제 2절 몰록과 쿡쿠 샌드박스 연동

제 14장. IRMA를 이용한 악성코드 분석 기능 확장

-제 1절 IRMA 설치
-제 2절 IRMA와 쿡쿠 샌드박스 연동

제 15장. 위협 정보 공유 플랫폼 MISP와 연동

-제 1절 MISP 구축
-제 2절 MISP와 쿡쿠 샌드박스 연동

제 16장. 야라를 이용한 정적 패턴 제작

-제 1절 야라 패턴 제작

제 17장. 파이썬 프로그래밍을 이용한 쿡쿠 샌드박스의 동적 패턴 제작

제 18장. 네트워크 라우팅 구축

-제 1절 기본 라우팅
-제 2절 inetsim 설치 및 쿡쿠 샌드박스 연동
-inetsim 설치 및 설정
-inetsim과 쿡쿠 샌드박스 연동
-제 3절 토르 설치 및 쿡쿠 샌드박스 연동
-토르 설치
-토르와 쿡쿠 샌드박스 연동
-제 4절 VPN 설치 및 쿡쿠 샌드박스 연동

4편. 악성코드 분석 유형 확장 및 부록

제 19장. 응용프로그램 추가를 통한 확장

-제 1절 파이어폭스를 이용한 URL 분석
-제 2절 JAR 파일 분석
-제 3절 PDF 파일 분석
-제 4절 기타 문서형 악성코드 구축 팁
-제 5절 플래시 플레이어 설치

제 20장. 부록

-제 1절 우분투 운영체제의 데몬 관리
-제 2절 쿡쿠 데몬 관리
-제 3절 NginX와 uWSGI 운영에서 대용량 파일 처리 문제
-제 4절 분석 결과 대용량 데이터 처리
-제 5절 엘라스틱서치 필드 한계치 설정
-제 6절 쿡쿠 샌드박스 업그레이드

[본 문]

오랫동안 쿡쿠 샌드박스를 다뤄왔다. 2.0.x 버전이 공개됐을 때 쿡쿠 샌드박스에 관한 책을 써보자 생각했다. 그렇게 집필 형태로 첫 글을 쓴 것이 2017년 4월 14일이다. 1년이 넘는 시간 동안 수많은 기능을 테스트하고, 소스코드를 분석했으며, 집필하기 위해 반복 테스트했던 시간은 힘들었지만 기능 구현에 성공할 때마다 성취감에 즐거움을 느꼈다.
아직 쿡쿠 샌드박스의 모든 것을 다루진 못했다. 이제 겨우 윈도우 기반 악성코드만 다뤘을 뿐 OSX, 리눅스, 안드로이드 플랫폼 확장도 도전해야 할 부분이다. 심지어 퇴고하고 있는 지금도 쿡쿠 샌드박스는 새로운 버전을 공개했고, 우분투도 새로운 버전이 공개됐다. 쿡쿠 샌드박스는 항상 발전하고 새로운 모습으로 변하고 있다.
책에서 하지 못한, 그리고 앞으로 알게 될 쿡쿠 샌드박스와 관련 있는 다양한 정보는 블로그(www.hakawati.co.kr)에 포스팅하려 한다.
그 외에 이 책을 읽고 쿡쿠 샌드박스에 매료된 독자 분이 오픈소스 프로젝트에 참가하기를 바라며, 이 책을 따라 하면서 고민한 부분에 대해 블로그의 방명록을 이용해 필자와 소통해도 감사할 것 같다.
(지은이의 말 중에서)

이 책의 구성

제 1편, '쿡쿠 샌드박스 개요 및 인프라 구성'에서는 쿡쿠 샌드박스와 주변 상태계에 대해 이야기한다. 쿡쿠 샌드박스를 구축하기 위해 하이퍼바이저와 운영체제를 설치한다.
제 2편, '쿡쿠 샌드박스 기본 구축 및 운영'에서는 기본으로 구축한 윈도우 운영체제에서 악성코드를 분석할 수 있는 기초적인 수준의 쿡쿠 샌드박스를 이야기한다. 악성코드를 수집하는 방법과 수집한 쿡쿠 샌드박스에 악성코드 분석을 요청하고, 분석이 끝난 후 볼 수 있는 분석 결과 정보를 함께 살펴본다.
제 3편, '쿡쿠 샌드박스 확장 운영'에서 다양한 도구를 구축하고 쿡쿠 샌드박스와 연동한다.
제 4편, '악성코드 분석 유형 확장'에서는 윈도우에서 기본으로 실행되는 악성코드뿐만 아니라 다른 유형의 악성코드를 분석하기 위해 응용프로그램을 샌드박스에 설치하고 해당 응용프로그램으로 실행되는 악성코드를 분석하도록 확장하는 방법을 다룬다.

이 책의 대상 독자

- 정보보안을 공부하고 싶은 독자
- 정보보안 관제 업무를 수행하는 독자
- 정보보안 침해사고대응을 수행하는 독자
- 정보보안 인텔리전스 분야를 연구하는 독자
- 악성코드 분석 업무를 수행하는 독자
- 기업 보안을 담당하는 독자

최우석
㈜한국정보보호교육센터에서 정보보안 교육을 이수하고, ㈜트라이큐브랩에 입사해 정보보안 업계에 처음 발을 내디뎠다. ㈜트라이큐브랩에서는 악성코드 유포를 분석하고, 악성코드 분석과 관련 있는 다양한 오픈소스를 테스트해 분석 서버의 기능을 강화하고 정보 수집 및 분석하는 연구 조직에서 일했다. 현재 처음 공부했던 ㈜한국정보보호교육센터로 다시 돌아와 연구소에서 다양한 정보보안 관련 연구를 주 업무로 하고 있다.
㈜트라이큐브랩에서 공격자의 악성코드 유포를 분석하거나 다양한 악성코드 분석과 관련 있는 오픈소스를 다루는 과정에서 많은 공부를 했고, 이 를 공유하고자 www.hakawati.co.kr 도메인의 블로그를 운영하기 시작했다. 이직할 때쯤 보안프로젝트와의 인연으로 『칼리 리눅스와 백트랙을 활용한 모의 해킹』(에이콘, 2014), 『파이썬 오픈소스 도구를 활용한 악성코드 분석』(에이콘, 2015)을 공동으로 집필하게 됐고, 글쓰기의 희노애락을 알게 돼 『DBD 공격과 자바스크립트 난독화로 배우는 해킹의 기술』(한빛미디어, 2016)을 단독 집필했다.
최근에는 여러 분야의 정보보안이 매우 밀접한 관계가 있다는 것을 알게 돼 분야를 넓히기 위해 고민하고 있다. 그 일환으로 성균관대학원 법대 과학수사학과 3기로 진학, 노명선 교수님의 지도하에 법과 디지털 포렌식을 공부하고 있다.