SlideShare uma empresa Scribd logo

[2013 CodeEngn Conference 09] proneer - Malware Tracker

GangSeok Lee
GangSeok Lee

2013 CodeEngn Conference 09 최근 조직의 침해는 조직의 보안 환경이 강화되면서 장기간에 걸쳐 일어난다. 목적을 달성할때까지 지속 매커니즘을 사용하여 시스템에 잠복하거나 다른 시스템으로 이동해간다. 이런 상황에서 악성코드가 사용하는 지속 매커니즘은 무엇이 있는지, 그리고 침해사고를 조기에 인지하여 악성코드의 유입 경로를 찾을 수 있는 방안을 살펴본다. http://codeengn.com/conference/09 http://codeengn.com/conference/archive

Educação
1 de 25
Baixar para ler offline
CodeEngn Coference 09 Malware Tracker? JK Kim (at)pr0neer forensic-proof.com Proneer(at)gmail.com www.CodeEngn.com 2013 CodeEngn Conference 09
개요 1. 침해사고 감염 유형 2. 침해사고 포렌식 분석 forensic-proof.com Page 2/26
침해사고 감염 유형 forensic-proof.com Page 3/26
침해사고 감염 유형 침해사고 감염 유형 § 1. 웹을 통한 감염 2. 웹하드를 통한 감염 3. 이메일을 통한 감염 4. 외장저장장치를 통한 감염 5. 업데이트 서버를 통한 감염 6. … … è 모든 감염 유형은 APT 또는 TT의 시작이 될 수 있음!! • APT – Advanced Persistent Threat • TT – Targeted Threat forensic-proof.com Page 4/26
침해사고 감염 유형 1. 웹을 통한 감염 • 웹 브라우저/웹 애플리케이션/보안 애플리케이션 취약점 악용 • 악성코드 은닉 사이트 접속 유도 • 악성 ActiveX, 자바 애플릿 설치 유도 • 확장자 변조 악성 파일 다운 유도 • 짧은 URL(goo.gl, bitly. tynyURL, mcaf.ee 등)을 이용한 클릭 유도 forensic-proof.com Page 5/26
침해사고 감염 유형 2. 웹하드를 통한 감염 • 7.7 DDoS, 3.4 DDoS, 6.25 사이버테러의 원인 • 다운로드 매니저 교체 • 악성 파일 다운 유도 forensic-proof.com Page 6/26
침해사고 감염 유형 3. 이메일을 통한 감염 • 사회적 관심사, 정기 메일 등의 형식을 이용한 스피어 피싱 메일 발송 • 악성 사이트 접속 유도 • 악성 첨부파일 실행 유도 forensic-proof.com Page 7/26
침해사고 감염 유형 4. 외장저장장치를 통한 감염 • 국가 기간망(스턱스넷, 듀크, 플레임)과 같이 폐쇄망을 타겟 • 농협 전산망 마비와 같이 내부 시스템 감염을 위해 사용 • 우연히 습득한 저장장치? forensic-proof.com Page 8/26
침해사고 감염 유형 5. 업데이트 서버를 통한 감염 • 대형 개인정보 유출사고와 기밀 유출 사고의 원인 • 주로 애플리케이션 개발사에서 운용 è 최근 자체적으로 내부 업데이트 서버를 유지 • 기업 내부로 침투할 수 있는 가장 효과적인 방법 • 업데이트 서버의 설정을 조작하여 특정 기업만 침투하기도 함 • 대상 기업의 보안성 >> 업데이트 서버의 보안성 forensic-proof.com Page 9/26
침해사고 감염 유형 6. … … • 그 밖의 감염 유형은? • 감염 유형을 정형화할 수 있는가? forensic-proof.com Page 10/26
침해사고 포렌식 분석 forensic-proof.com Page 11/26
침해사고 포렌식 분석 § 일반적인 분석 절차 데이터 수집 타임라인 분석 침해 아티팩트 분석 forensic-proof.com Page 12/26
침해사고 포렌식 분석 § 데이터 수집 1) 수집 스크립트를 이용한 라이브 데이터 수집 ü 활성 데이터 ü 물리 메모리 ü 비활성 데이터 ü 네트워크 패킷 forensic-proof.com Page 13/26
침해사고 포렌식 분석 § 데이터 수집 2) 선별 데이터 복사 ü 이미징이 불가능한 경우 상황에 따라 주요 포렌식 분석 데이터만 선별 추출 ü 단순 복사나 전문 복사 도구(forecopy, robocopy 등) 이용 3) 저장장치 복제/이미징 ü 일반적으로 복제가 이미징보다 빠름 ü 증거 분배나 분석 효율을 위해 최종 분석 작업은 이미징 후 수행 ü 온라인 이미징일 경우, 공개된 무료 도구(FTK Imager, dd + netcat 등) 사용 ü 오프라인 이미징일 경우, 속도나 안전성의 이유로 전문 장비 이용 forensic-proof.com Page 14/26
침해사고 포렌식 분석 § 타임라인 분석 1) 시간 정보를 포함한 다양한 포렌식 아티팩트 추출 2) 추출된 아티팩트를 시간 정보를 기준으로 정형화 3) 시간 순으로 정렬 후 특정 시간 대에 일어난 흔적 분석 forensic-proof.com Page 15/26
타임라인 분석 실전 침해사고 포렌식 방법 타임라인 분석 forensic-proof.com Page 16/26
침해사고 포렌식 분석 타임라인 분석 § • 타임라인 분석을 왜 하는가? ü 특정 이벤트 발생 시점 전, 후로 시스템 상에서 어떤 일이 발생했는지 쉽게 파악 가능 ü 정밀 분석 대상을 빠르게 선별 가능 • 시점을 알고 있는 경우 ü 타임라인 추출 후 해당 시점을 기준으로 분석 • 시점을 모르는 경우 ü 다양한 침해 아티팩트를 분석하여 관련 시점 획득 forensic-proof.com Page 17/26
침해사고 포렌식 분석 타임라인 분석 § • 시간 정보를 포함하는 윈도우 아티팩트 ü 파일시스템 메타데이터 (FAT=3, NTFS=8) ü 프리패치 파일 생성 시간, 내부 최종 실행 시간 ü 레지스트리 키의 마지막 기록 시간 ü 이벤트 로그의 이벤트 생성/작성 시간 ü 바로가기 파일의 생성/수정/접근 시간과 바로가기 대상의 생성/수정/접근 시간 ü IIS, FTP, MS-SQL Error, AV 로그 등의 시간 정보 ü 웹 브라우저 사용 흔적의 방문/수정/접근/만료/다운로드 시간 ü 시스템 복원 지점과 볼륨 섀도 복사본의 파일시스템 시간 정보 ü PE 파일의 컴파일 시간 ü 휴지통의 삭제된 시간 ü JPEG EXIF의 사진 촬영 시간 ü …… forensic-proof.com Page 18/26
침해사고 포렌식 분석 § 침해 아티팩트 분석 (윈도우 환경의 클라이언트 분석 관점) 1. 침해 유입 아티팩트 2. 침해 실행 아티팩트 3. 침해 지속 아티팩트 forensic-proof.com Page 19/26
침해사고 포렌식 분석 1. 침해 유입 아티팩트 • 웹 브라우저 아티팩트 • 자바 IDX • 이메일 아티팩트 • 외부저장장치 아티팩트 • AV 로그 • 방화벽 로그 • 이벤트 로그 forensic-proof.com Page 20/26
침해사고 포렌식 분석 2. 침해 실행 아티팩트 • 프리패치 • 파일시스템 로그 • 바로가기 • 점프 목록 • 레지스트리 • 볼륨 섀도 복사본 • 응용프로그램 호환성 캐시 • WoW64 • 윈도우 문제 보고 • 이벤트 로그 forensic-proof.com Page 21/26
침해사고 포렌식 분석 3. 침해 지속 아티팩트 • 루트킷 • 악성코드 선호 경로 • 비정상 파일 • 슬랙 공간 • 시간 조작 • 자동 실행 목록 • 작업 스케줄러 • 이벤트 로그 forensic-proof.com Page 22/26
침해사고 포렌식 분석 어려운 점 § • 고급 안티포렌식 기법의 일반화 • 다양한 취약점 및 악성코드 기법 • 미흡한 침해사고 준비도 • 미흡한 초기 대응 • 평시 일어나는 침해 이벤트에 대해 무감각 • 대용량 데이터 분석 • 결과를 통한 시너지 부족 forensic-proof.com Page 23/26
침해사고 포렌식 분석 요구 사항 § • 디지털포렌식 기술의 꽃!! • 운영체제에 대한 폭넓은 이해 • 다양한 환경 및 기술에 대해 깊은 이해보다 폭넓은 이해 필요 • 급변하는 취약점 혹은 악성코드 기법에 대한 정보를 주기적으로 모니터링 • 다양한 침해사고나 가상 케이스에 대한 많은 경험이 반드시 필요 • 두 명 이상의 종합적이고 객관적인 판단 • 상시 분석이 가능한 침해사고 분석 인력 필요 • 침해사고 준비도를 갖추자!! forensic-proof.com Page 24/26
질문 및 답변 www.CodeEngn.com 2013 CodeEngn Conference 09 forensic-proof.com Page 25/26

Recomendados

악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
Youngjun Chang
 

Recomendados

악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
Youngjun Chang
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
INSIGHT FORENSIC
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
Youngjun Chang
 
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
seungdols
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
Youngjun Chang
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
Youngjun Chang
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
Youngjun Chang
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
Juhwan Yun
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
Youngjun Chang
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
plainbit
 
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
GangSeok Lee
 
Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3
NAVER D2
 

Mais conteúdo relacionado

Mais procurados

악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
Juhwan Yun
 

Mais procurados (20)

2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
 

Destaque

[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
GangSeok Lee
 
Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3
NAVER D2
 
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
GangSeok Lee
 
online investigation
online investigationonline investigation
online investigation
fortune777
 
CapitalMarket_Blockchain_PoC_KOSCOM
CapitalMarket_Blockchain_PoC_KOSCOMCapitalMarket_Blockchain_PoC_KOSCOM
CapitalMarket_Blockchain_PoC_KOSCOM
MyoungSeok Song
 
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
GangSeok Lee
 
개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging
Nasol Kim
 

Destaque (20)

[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
 
Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3Deview 발표자료 v1.5.3
Deview 발표자료 v1.5.3
 
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
[2012 CodeEngn Conference 06] beist - Everyone has his or her own fuzzer
 
online investigation
online investigationonline investigation
online investigation
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
opensuse conference 2015: security processes and technologies for Tumbleweed
opensuse conference 2015: security processes and technologies for Tumbleweedopensuse conference 2015: security processes and technologies for Tumbleweed
opensuse conference 2015: security processes and technologies for Tumbleweed
 
IT서비스업체에서의 공개SW 1부
IT서비스업체에서의 공개SW 1부IT서비스업체에서의 공개SW 1부
IT서비스업체에서의 공개SW 1부
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
CapitalMarket_Blockchain_PoC_KOSCOM
CapitalMarket_Blockchain_PoC_KOSCOMCapitalMarket_Blockchain_PoC_KOSCOM
CapitalMarket_Blockchain_PoC_KOSCOM
 
IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)
 
[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템
[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템
[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detection
 
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
 
Ransomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationRansomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & Mitigation
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
 
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
 
개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging
 

Semelhante a [2013 CodeEngn Conference 09] proneer - Malware Tracker

안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
Hyoje Jo
 

Semelhante a [2013 CodeEngn Conference 09] proneer - Malware Tracker (20)

(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
[KCC poster]정준영
[KCC poster]정준영[KCC poster]정준영
[KCC poster]정준영
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)
 
(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
 

Mais de GangSeok Lee

[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
GangSeok Lee
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
GangSeok Lee
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
GangSeok Lee
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
GangSeok Lee
 
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
GangSeok Lee
 
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
GangSeok Lee
 
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
GangSeok Lee
 

Mais de GangSeok Lee (20)

[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
 
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
 
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
 
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
 
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
 
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
 
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
 
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
 
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
 
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
 
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
 
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
 
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
 
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
 

[2013 CodeEngn Conference 09] proneer - Malware Tracker

  • 1. CodeEngn Coference 09 Malware Tracker? JK Kim (at)pr0neer forensic-proof.com Proneer(at)gmail.com www.CodeEngn.com 2013 CodeEngn Conference 09
  • 2. 개요 1. 침해사고 감염 유형 2. 침해사고 포렌식 분석 forensic-proof.com Page 2/26
  • 4. 침해사고 감염 유형 침해사고 감염 유형 § 1. 웹을 통한 감염 2. 웹하드를 통한 감염 3. 이메일을 통한 감염 4. 외장저장장치를 통한 감염 5. 업데이트 서버를 통한 감염 6. … … è 모든 감염 유형은 APT 또는 TT의 시작이 될 수 있음!! • APT – Advanced Persistent Threat • TT – Targeted Threat forensic-proof.com Page 4/26
  • 5. 침해사고 감염 유형 1. 웹을 통한 감염 • 웹 브라우저/웹 애플리케이션/보안 애플리케이션 취약점 악용 • 악성코드 은닉 사이트 접속 유도 • 악성 ActiveX, 자바 애플릿 설치 유도 • 확장자 변조 악성 파일 다운 유도 • 짧은 URL(goo.gl, bitly. tynyURL, mcaf.ee 등)을 이용한 클릭 유도 forensic-proof.com Page 5/26
  • 6. 침해사고 감염 유형 2. 웹하드를 통한 감염 • 7.7 DDoS, 3.4 DDoS, 6.25 사이버테러의 원인 • 다운로드 매니저 교체 • 악성 파일 다운 유도 forensic-proof.com Page 6/26
  • 7. 침해사고 감염 유형 3. 이메일을 통한 감염 • 사회적 관심사, 정기 메일 등의 형식을 이용한 스피어 피싱 메일 발송 • 악성 사이트 접속 유도 • 악성 첨부파일 실행 유도 forensic-proof.com Page 7/26
  • 8. 침해사고 감염 유형 4. 외장저장장치를 통한 감염 • 국가 기간망(스턱스넷, 듀크, 플레임)과 같이 폐쇄망을 타겟 • 농협 전산망 마비와 같이 내부 시스템 감염을 위해 사용 • 우연히 습득한 저장장치? forensic-proof.com Page 8/26
  • 9. 침해사고 감염 유형 5. 업데이트 서버를 통한 감염 • 대형 개인정보 유출사고와 기밀 유출 사고의 원인 • 주로 애플리케이션 개발사에서 운용 è 최근 자체적으로 내부 업데이트 서버를 유지 • 기업 내부로 침투할 수 있는 가장 효과적인 방법 • 업데이트 서버의 설정을 조작하여 특정 기업만 침투하기도 함 • 대상 기업의 보안성 >> 업데이트 서버의 보안성 forensic-proof.com Page 9/26
  • 10. 침해사고 감염 유형 6. … … • 그 밖의 감염 유형은? • 감염 유형을 정형화할 수 있는가? forensic-proof.com Page 10/26
  • 12. 침해사고 포렌식 분석 § 일반적인 분석 절차 데이터 수집 타임라인 분석 침해 아티팩트 분석 forensic-proof.com Page 12/26
  • 13. 침해사고 포렌식 분석 § 데이터 수집 1) 수집 스크립트를 이용한 라이브 데이터 수집 ü 활성 데이터 ü 물리 메모리 ü 비활성 데이터 ü 네트워크 패킷 forensic-proof.com Page 13/26
  • 14. 침해사고 포렌식 분석 § 데이터 수집 2) 선별 데이터 복사 ü 이미징이 불가능한 경우 상황에 따라 주요 포렌식 분석 데이터만 선별 추출 ü 단순 복사나 전문 복사 도구(forecopy, robocopy 등) 이용 3) 저장장치 복제/이미징 ü 일반적으로 복제가 이미징보다 빠름 ü 증거 분배나 분석 효율을 위해 최종 분석 작업은 이미징 후 수행 ü 온라인 이미징일 경우, 공개된 무료 도구(FTK Imager, dd + netcat 등) 사용 ü 오프라인 이미징일 경우, 속도나 안전성의 이유로 전문 장비 이용 forensic-proof.com Page 14/26
  • 15. 침해사고 포렌식 분석 § 타임라인 분석 1) 시간 정보를 포함한 다양한 포렌식 아티팩트 추출 2) 추출된 아티팩트를 시간 정보를 기준으로 정형화 3) 시간 순으로 정렬 후 특정 시간 대에 일어난 흔적 분석 forensic-proof.com Page 15/26
  • 16. 타임라인 분석 실전 침해사고 포렌식 방법 타임라인 분석 forensic-proof.com Page 16/26
  • 17. 침해사고 포렌식 분석 타임라인 분석 § • 타임라인 분석을 왜 하는가? ü 특정 이벤트 발생 시점 전, 후로 시스템 상에서 어떤 일이 발생했는지 쉽게 파악 가능 ü 정밀 분석 대상을 빠르게 선별 가능 • 시점을 알고 있는 경우 ü 타임라인 추출 후 해당 시점을 기준으로 분석 • 시점을 모르는 경우 ü 다양한 침해 아티팩트를 분석하여 관련 시점 획득 forensic-proof.com Page 17/26
  • 18. 침해사고 포렌식 분석 타임라인 분석 § • 시간 정보를 포함하는 윈도우 아티팩트 ü 파일시스템 메타데이터 (FAT=3, NTFS=8) ü 프리패치 파일 생성 시간, 내부 최종 실행 시간 ü 레지스트리 키의 마지막 기록 시간 ü 이벤트 로그의 이벤트 생성/작성 시간 ü 바로가기 파일의 생성/수정/접근 시간과 바로가기 대상의 생성/수정/접근 시간 ü IIS, FTP, MS-SQL Error, AV 로그 등의 시간 정보 ü 웹 브라우저 사용 흔적의 방문/수정/접근/만료/다운로드 시간 ü 시스템 복원 지점과 볼륨 섀도 복사본의 파일시스템 시간 정보 ü PE 파일의 컴파일 시간 ü 휴지통의 삭제된 시간 ü JPEG EXIF의 사진 촬영 시간 ü …… forensic-proof.com Page 18/26
  • 19. 침해사고 포렌식 분석 § 침해 아티팩트 분석 (윈도우 환경의 클라이언트 분석 관점) 1. 침해 유입 아티팩트 2. 침해 실행 아티팩트 3. 침해 지속 아티팩트 forensic-proof.com Page 19/26
  • 20. 침해사고 포렌식 분석 1. 침해 유입 아티팩트 • 웹 브라우저 아티팩트 • 자바 IDX • 이메일 아티팩트 • 외부저장장치 아티팩트 • AV 로그 • 방화벽 로그 • 이벤트 로그 forensic-proof.com Page 20/26
  • 21. 침해사고 포렌식 분석 2. 침해 실행 아티팩트 • 프리패치 • 파일시스템 로그 • 바로가기 • 점프 목록 • 레지스트리 • 볼륨 섀도 복사본 • 응용프로그램 호환성 캐시 • WoW64 • 윈도우 문제 보고 • 이벤트 로그 forensic-proof.com Page 21/26
  • 22. 침해사고 포렌식 분석 3. 침해 지속 아티팩트 • 루트킷 • 악성코드 선호 경로 • 비정상 파일 • 슬랙 공간 • 시간 조작 • 자동 실행 목록 • 작업 스케줄러 • 이벤트 로그 forensic-proof.com Page 22/26
  • 23. 침해사고 포렌식 분석 어려운 점 § • 고급 안티포렌식 기법의 일반화 • 다양한 취약점 및 악성코드 기법 • 미흡한 침해사고 준비도 • 미흡한 초기 대응 • 평시 일어나는 침해 이벤트에 대해 무감각 • 대용량 데이터 분석 • 결과를 통한 시너지 부족 forensic-proof.com Page 23/26
  • 24. 침해사고 포렌식 분석 요구 사항 § • 디지털포렌식 기술의 꽃!! • 운영체제에 대한 폭넓은 이해 • 다양한 환경 및 기술에 대해 깊은 이해보다 폭넓은 이해 필요 • 급변하는 취약점 혹은 악성코드 기법에 대한 정보를 주기적으로 모니터링 • 다양한 침해사고나 가상 케이스에 대한 많은 경험이 반드시 필요 • 두 명 이상의 종합적이고 객관적인 판단 • 상시 분석이 가능한 침해사고 분석 인력 필요 • 침해사고 준비도를 갖추자!! forensic-proof.com Page 24/26
  • 25. 질문 및 답변 www.CodeEngn.com 2013 CodeEngn Conference 09 forensic-proof.com Page 25/26