침해사고 조사 과정DFIR, Digital Forensics and Incident Response

악성코드 유입은 휴먼에러에 기반하기 때문에 100% 막는 것이 현실적으로 불가능합니다. 악성코드 유입을 막기 위한 보안은 실패할 수 밖에 없기 때문에 공격자의 목적 달성을 무력화하는 것으로 보안의 패러다임이 바껴야 합니다.

타겟형 공격은 공격자의 {타겟 외부에서의 조사}와 {내부망 침투 및 전파}로 크게 나눌 수 있습니다. 외부에서의 조사는 제어할 수 없기 때문에 타겟형 공격의 방어는 내부망 침투와 전파에 초점을 맞추어야 합니다. 흔히 타겟형 공격이 1개월, 3개월, 1년이 걸렸다는 이야기는 내부망 침투 후 전파, 목적 달성에 이르는 시간을 의미합니다. 방어자 입장에서는 이 타겟형 공격 기간을 공격자의 목적 달성을 무력화시키는 기간으로 삼아야 합니다.

호스트가 악성코드에 감염된 경우, 왜 호스트의 문제가 아닌 조직의 문제로 확대될까요? 공격자는 어떻게 내부망에서 전파해갈까요? 호스트 분석을 통해 악성코드의 유입과 전파를 어떻게 식별할 수 있을까요?

본 교육은 이런 궁금증을 해소해드립니다. 또한 대규모 침해사고부터 소규모 침해사고까지 다수의 사고 대응 경험에서 쌓은 노하우를 전달해드립니다.

과정 상세 내용

교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식  : 이론 (40%) + 실습 (60%)
제공 사항  : 노트북 지원, 교육 기간 내 점심 및 다과 제공
※ 본 교육에서 다루는 모든 조사 기법은 윈도우 10 (x64) 환경을 기준으로 합니다.

일정 주제 상세 내용
1일차 침해사고 조사 개요 최신 침해 사고 및 위협 동향
사이버 위협 동향
사고 대응 체계 및 준비도
현장 대응 절차
사고 분석 절차
사고 분석 사례
사고 데이터 수집 사고 데이터 수집 전략
스크립트를 이용한 온라인 데이터(활성,비활성,메모리) 수집 자동화
온라인 데이터 분석을 통한 악성코드 식별
선별 데이터 수집 및 이미징/복제
원격 데이터 수집
볼륨 섀도 복사본 활용
2일차 침해 실행 아티팩트 조사 앰캐시 조사
프리패치 조사
레지스트리 조사 (호환성 캐시, BAM/DAM 키 포함)
바로가기/점프목록 조사
SRUM(System Resource Usage Monitor) 조사
윈도우 문제 보고 조사
WMI/Powershell/VBScript/JScript/WinRM 흔적 조사
3일차 침해 지속 아티팩트 조사 악성코드 선호 경로 및 파일명 조사
은닉 데이터 조사
데이터 삭제 흔적 조사
시간 조작 탐지
INDX 슬랙 조사
자동실행 목록 조사
작업스케줄러 조사
윈도우 서비스 조사
침해 유입 아티팩트 브라우저 아티팩트 조사
액티브 X 아티팩트 조사
4일차 자바 애플릿 아티팩트 조사
Zone ID 조사
이메일 아티팩트 조사
저장장치 아티팩트 조사
침해 전파 아티팩트 원격 레지스트리 악용
원격 데스크톱 악용
인증 토큰 획득 방안
Pass The Hash/Pass The Ticket
원격 실행 흔적 (PsExec, WMI/WMIC, 파워셸, Services, Scheduled Tasks)
윈도우 공유 악용
5일차 타임라인 분석 타임라인 분석 전략
파일시스템 타임라인 분석
PLASO를 활용한 통합 타임라인 분석
실전 사고 대응 취약점을 활용한 호스트 감염 실습
감염 호스트 포렌식 분석
침해 원인 식별 및 과정 재구성