침해사고 조사 과정DFIR, Digital Forensics and Incident Response
악성코드 유입은 휴먼에러에 기반하기 때문에 100% 막는 것이 현실적으로 불가능합니다. 악성코드 유입을 막기 위한 보안은 실패할 수 밖에 없기 때문에 공격자의 목적 달성을 무력화하는 것으로 보안의 패러다임이 바껴야 합니다.
타겟형 공격은 공격자의 {타겟 외부에서의 조사}와 {내부망 침투 및 전파}로 크게 나눌 수 있습니다. 외부에서의 조사는 제어할 수 없기 때문에 타겟형 공격의 방어는 내부망 침투와 전파에 초점을 맞추어야 합니다. 흔히 타겟형 공격이 1개월, 3개월, 1년이 걸렸다는 이야기는 내부망 침투 후 전파, 목적 달성에 이르는 시간을 의미합니다. 방어자 입장에서는 이 타겟형 공격 기간을 공격자의 목적 달성을 무력화시키는 기간으로 삼아야 합니다.
호스트가 악성코드에 감염된 경우, 왜 호스트의 문제가 아닌 조직의 문제로 확대될까요? 공격자는 어떻게 내부망에서 전파해갈까요? 호스트 분석을 통해 악성코드의 유입과 전파를 어떻게 식별할 수 있을까요?
본 교육은 이런 궁금증을 해소해드립니다. 또한 대규모 침해사고부터 소규모 침해사고까지 다수의 사고 대응 경험에서 쌓은 노하우를 전달해드립니다.
과정 상세 내용
교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식 : 이론 (40%) + 실습 (60%)
제공 사항 : 실습 환경 지원, 교육 기간 내 점심 및 다과 제공
※ 본 교육에서 다루는 모든 조사 기법은 윈도우 10 (x64) 환경을 기준으로 합니다.
일정 | 주제 | 상세 내용 |
---|---|---|
1일차 | 침해사고 조사 개요 | 최신 침해 사고 및 위협 동향 |
사이버 위협 동향 | ||
사고 대응 체계 및 준비도 | ||
현장 대응 절차 | ||
사고 분석 절차 | ||
사고 분석 사례 | ||
사고 데이터 수집 | 사고 데이터 수집 전략 | |
스크립트를 이용한 온라인 데이터(활성,비활성,메모리) 수집 자동화 | ||
온라인 데이터 분석을 통한 악성코드 식별 | ||
Kape를 이용한 선별 데이터 수집 | ||
이미징과 복제 | ||
원격 데이터 수집 | ||
2일차 | 로그 분석 개요 | 로그 유형과 분석 방안 |
WSL과 리눅스 명령어 활용 | ||
웹 서비스 환경과 로그 | 웹 서비스 환경 구조 | |
웹 로그 형식과 파싱 | ||
웹 공격 실습 | 웹 공격 환경 설정 | |
SQL Injection 공격과 로그 분석 | ||
Directory Traversal 공격과 로그 분석 | ||
Remote & Local File Inclusion 공격과 로그 분석 | ||
File Upload 공격과 로그 분석 | ||
3일차 | 침해 실행 아티팩트 조사 | 침해 실행 기법 |
PE 파일 실행 아티팩트 : 레지스트리, 프리패치, 윈도우 문제 보고, 앰캐시 등 |
||
문서 파일 실행 아티팩트 : 레지스트리, 바로가기, 점프목록, IE 히스토리 등 |
||
스크립트 실행 흔적 | ||
침해 지속 아티팩트 | 침해 지속 기법 | |
악성코드 선호 경로 | ||
은닉 데이터(INDX 슬랙) | ||
시간 조작 | ||
자동실행 목록 | ||
서비스 | ||
작업 스케줄러 | ||
기타 지속 아티팩트 : BITS Jobs, Created/Valide Account |
||
4일차 | 침해 유입 아티팩트 조사 | 침해 유입 기법 |
브라우저 흔적 | ||
Zone ID | ||
외장저장장치 흔적 | ||
이메일 흔적 | ||
침해 전파 아티팩트 | 침해 전파 기법 | |
내부망 이동 기법 | ||
호스트 자격 증명 수집 | ||
내부망 호스트 공격 및 이동 | ||
기타 전파 아티팩트 : 명령 실행 흔적, 이벤트 로그, 인증 로그 등 |
||
기타 침해 아티팩트 | SRUM(System Resource Usage Monitor) | |
데이터 삭제 흔적 | ||
5일차 | 실전 침해사고 사례 분석 #1 | 랜섬웨어 사례 소개 |
감염 원인 및 피해 범위 분석 | ||
공격자 타임라인 구성 | ||
실전 침해사고 사례 분석 #2 | 타겟형 공격 사례 소개 | |
감염 원인 및 피해 범위 분석 | ||
공격자 타임라인 구성 |