침해사고 조사 과정DFIR, Digital Forensics and Incident Response

악성코드 유입은 휴먼에러에 기반하기 때문에 100% 막는 것이 현실적으로 불가능합니다. 악성코드 유입을 막기 위한 보안은 실패할 수 밖에 없기 때문에 공격자의 목적 달성을 무력화하는 것으로 보안의 패러다임이 바껴야 합니다.

타겟형 공격은 공격자의 {타겟 외부에서의 조사}와 {내부망 침투 및 전파}로 크게 나눌 수 있습니다. 외부에서의 조사는 제어할 수 없기 때문에 타겟형 공격의 방어는 내부망 침투와 전파에 초점을 맞추어야 합니다. 흔히 타겟형 공격이 1개월, 3개월, 1년이 걸렸다는 이야기는 내부망 침투 후 전파, 목적 달성에 이르는 시간을 의미합니다. 방어자 입장에서는 이 타겟형 공격 기간을 공격자의 목적 달성을 무력화시키는 기간으로 삼아야 합니다.

호스트가 악성코드에 감염된 경우, 왜 호스트의 문제가 아닌 조직의 문제로 확대될까요? 공격자는 어떻게 내부망에서 전파해갈까요? 호스트 분석을 통해 악성코드의 유입과 전파를 어떻게 식별할 수 있을까요?

본 교육은 이런 궁금증을 해소해드립니다. 또한 대규모 침해사고부터 소규모 침해사고까지 다수의 사고 대응 경험에서 쌓은 노하우를 전달해드립니다.

과정 상세 내용

교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식  : 이론 (40%) + 실습 (60%)
제공 사항  : 실습 환경 지원, 교육 기간 내 점심 및 다과 제공
※ 본 교육에서 다루는 모든 조사 기법은 윈도우 10 (x64) 환경을 기준으로 합니다.

일정 주제 상세 내용
1일차 침해사고 조사 개요 최신 침해 사고 및 위협 동향
사이버 위협 동향
사고 대응 체계 및 준비도
현장 대응 절차
사고 분석 절차
사고 분석 사례
사고 데이터 수집 사고 데이터 수집 전략
스크립트를 이용한 온라인 데이터(활성,비활성,메모리) 수집 자동화
온라인 데이터 분석을 통한 악성코드 식별
Kape를 이용한 선별 데이터 수집
이미징과 복제
원격 데이터 수집
2일차 로그 분석 개요 로그 유형과 분석 방안
WSL과 리눅스 명령어 활용
웹 서비스 환경과 로그 웹 서비스 환경 구조
웹 로그 형식과 파싱
웹 공격 실습 웹 공격 환경 설정
SQL Injection 공격과 로그 분석
Directory Traversal 공격과 로그 분석
Remote & Local File Inclusion 공격과 로그 분석
File Upload 공격과 로그 분석
3일차 침해 실행 아티팩트 조사 침해 실행 기법
PE 파일 실행 아티팩트
: 레지스트리, 프리패치, 윈도우 문제 보고, 앰캐시 등
문서 파일 실행 아티팩트
: 레지스트리, 바로가기, 점프목록, IE 히스토리 등
스크립트 실행 흔적
침해 지속 아티팩트 침해 지속 기법
악성코드 선호 경로
은닉 데이터(INDX 슬랙)
시간 조작
자동실행 목록
서비스
작업 스케줄러
기타 지속 아티팩트
: BITS Jobs, Created/Valide Account
4일차 침해 유입 아티팩트 조사 침해 유입 기법
브라우저 흔적
Zone ID
외장저장장치 흔적
이메일 흔적
침해 전파 아티팩트 침해 전파 기법
내부망 이동 기법
호스트 자격 증명 수집
내부망 호스트 공격 및 이동
기타 전파 아티팩트
: 명령 실행 흔적, 이벤트 로그, 인증 로그 등
기타 침해 아티팩트 SRUM(System Resource Usage Monitor)
데이터 삭제 흔적
5일차 실전 침해사고 사례 분석 #1 랜섬웨어 사례 소개
감염 원인 및 피해 범위 분석
공격자 타임라인 구성
실전 침해사고 사례 분석 #2 타겟형 공격 사례 소개
감염 원인 및 피해 범위 분석
공격자 타임라인 구성