침해사고
비합법적인 방법으로 시스템 접근하여 서비스 지연,파괴 등 비인가된 행위
데이터 수집-> 정밀검사-> 분석 -> 보고 (NIST SP 800-86)
아티팩트 (운영체제가 자동으로 생성하는 파일이며 디스크에서 발견 )
-웹 브라우져
-프리패치
-레지스트리
-LNK 파일
-이벤트로그
실습
1.인터뷰 진행 (피해자와 인터뷰하면서 상황파악)
어떤식으로 포렌식 진행될지 랜섬노트 생성시각,암호화된 시간 등
2.분석 대상 PC 확인 및 이미지 마운트
Arsenal Image Mounte(디스크 이미지 내용을 완전한 디스크로 마운트 시켜줌)를 통해 디스크 이미지 마 운트 진행 (이 외에도 FTK Imager라는 프로그램도 있음)
3.바탕화면에 있는 랜섬노트 생성 시각 확인
랜섬노트:랜섬웨어를 퍼트린 가해자가 피해자에게 금전을 요구하는 안내문
WinHex: hex 값을 편집하고 데이터 복구에서 사용하는 포렌식 도구
4.파일의 암호화된 시각 확인
파일 암호화 된 시각과 랜섬노트 생성 시각과 같으면 랜섬웨어가 이때 감염됬다를 알수 있다
5.웹브라우저 1. 웹 캐시 분석
어떤식으로 랜섬웨어가 유입되었는지 분석하는 단계
웹 캐시 파일 생성 시간 =웹사이트 접속 시간 즉 웹브라우저 히스토리로 분석 가능
웹브라우저 2. 웹브라우저 히스토리 분석
IE10Analyzer 으로 분석
어떤 페이지에서 감염됐는지 확인
웹브라우저 3. 프리패치(Prefetch) 분석을 위해 데이터 수집 (실행파일 흔적 분석 )
프리패치 데이터 확보 (C:\Windows\Prefetch)
웹브라우저 4.랜덤노트 생성 시각 기준으로 가장 최근에 실행된 파일
웹 캐시에서 발견된 파일 명 일치 한 파일 확인
웹브라우저5. Sysmon을 활용한 이벤트로그 분석
sysmon은 이벤트 실시간 저장해주는 프로그램임.
해당 실습 컴퓨터는 sysmon이라는 프로그램이 깔려있음
C:\Windows\System32\Winevt\Logs 에서 Sysmon 추출 및 분석
'보안 > 보안 유투브' 카테고리의 다른 글
| 모의해킹 시나리오 구성 영상 (0) | 2023.06.02 |
|---|---|
| [인프런]웹 해킹과 모의해킹 현업에 대한 이야기 (0) | 2022.12.29 |