침해사고 조사 과정DFIR, Digital Forensics and Incident Response

악성코드 유입은 휴먼에러에 기반하기 때문에 100% 막는 것이 현실적으로 불가능합니다. 악성코드 유입을 막기 위한 보안은 실패할 수 밖에 없기 때문에 공격자의 목적 달성을 무력화하는 것으로 보안의 패러다임이 바껴야 합니다.

타겟형 공격은 공격자의 {타겟 외부에서의 조사}와 {내부망 침투 및 전파}로 크게 나눌 수 있습니다. 외부에서의 조사는 제어할 수 없기 때문에 타겟형 공격의 방어는 내부망 침투와 전파에 초점을 맞추어야 합니다. 흔히 타겟형 공격이 1개월, 3개월, 1년이 걸렸다는 이야기는 내부망 침투 후 전파, 목적 달성에 이르는 시간을 의미합니다. 방어자 입장에서는 이 타겟형 공격 기간을 공격자의 목적 달성을 무력화시키는 기간으로 삼아야 합니다.

호스트가 악성코드에 감염된 경우, 왜 호스트의 문제가 아닌 조직의 문제로 확대될까요? 공격자는 어떻게 내부망에서 전파해갈까요? 호스트 분석을 통해 악성코드의 유입과 전파를 어떻게 식별할 수 있을까요?

본 교육은 이런 궁금증을 해소해드립니다. 또한 대규모 침해사고부터 소규모 침해사고까지 다수의 사고 대응 경험에서 쌓은 노하우를 전달해드립니다.

과정 상세 내용

교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식  : 이론 (40%) + 실습 (60%)
제공 사항  : 교육 기간 내 점심 및 다과 제공
교육생 준비사항 : 노트북 지참 (윈도우 7 x64 설치 권장)

일정 주제 상세 내용
1일차 침해사고 조사 개요 최신 침해 사고 및 위협 동향
침해사고 유형
침해사고 대응 전략
현장 대응 절차
침해사고 분석 절차
침해사고 분석 사례
포렌식 데이터 수집 포렌식 데이터 수집 전략
스크립트를 이용한 온라인 데이터(활성,비활성,메모리) 수집 자동화
온라인 데이터 분석을 통한 악성코드 식별
선별 데이터 수집 및 이미징/복제
원격 데이터 수집
2일차 메모리 포렌식 분석 메모리 이해
메모리 획득 방안
메모리 포렌식 전략
볼라틸리티를 이용한 메모리 분석 방안
실전 침해사고 메모리 분석
침해 실행 아티팩트 조사 최근 파일 캐시 조사
앰캐시 조사
레지스트리 조사
3일차 프리/슈퍼패치 조사
바로가기/점프목록 조사
호환성 캐시, BAM/DAM
윈도우 문제 보고 조사
침해 지속 아티팩트 조사 악성코드 선호 경로 조사
악성코드 선호 파일명 식별
은닉 데이터 조사
시간 조작 탐지
자동실행 목록 조사
작업스케줄러 조사
4일차 침해 유입 아티팩트 웹 브라우저 아티팩트 조사
액티브 X 아티팩트 조사
자바 애플릿 아티팩트 조사
Zone ID 조사
이메일 아티팩트 조사
침해 전파 아티팩트 원격 데스크톱, 원격 레지스트리 악용
인증 토큰 획득 방안
Pass The Hash/Pass The Ticket
원격 실행 흔적 (PsExec, WMI/WMIC, 파워셸, Services, Scheduled Tasks)
윈도우 공유 악용
원격 데스크톱 악용
5일차 기타 아티팩트 볼륨 섀도 복사본 활용 방안
이벤트 로그 조사 방안
타임라인 분석 타임라인 분석 전략
파일시스템 타임라인 분석
PLASO를 활용한 통합 타임라인 분석
실전 사고 대응 취약점을 활용한 호스트 감염 실습
감염 호스트 포렌식 분석
침해 원인 식별 및 과정 재구성