F-INSIGHT OPEN SEMINAR

1. FORENSIC INSIGHT;
DIGITAL FORENSICS COMMUNITY IN KOREA
빠르게 끝내는 악성코드 분석 및 대응
Dalgomtaeng
dalgomtaeng@gmail.com
Dalgomtaeng.blogspot.kr
@dalgomtaeng

2. forensicinsight.org Page 2
Who Am I ?
 관심사 : DFIR, Elastic, Opensource

3. forensicinsight.org Page 3
목차
1. 악성코드 분석
• Virustotal
• Procmon
• Procdot
• Cuckoo Sandbox
• Viper
2. 악성코드 대응
• 방화벽 차단
• IOC

4. forensicinsight.org Page 4
악성코드 분석
- 빠르게 빠르게~

5. forensicinsight.org Page 5
Intro
 왜 빠르게 분석해야 하는가?
• 한정된 분석 시간
• 침해 원인 파악에 비중
• 또 다른 침해 자산에 대한 확인을 위함
 어떤 결과가 필요한가?
• 분석가가 쉽고 간편하게 볼 수 자료
• 고객이 이해할 수 있는 쉬운 자료

6. forensicinsight.org Page 6
Virustotal

7. forensicinsight.org Page 7
Procmon

8. forensicinsight.org Page 8
Procdot

9. forensicinsight.org Page 9
Procdot

10. forensicinsight.org Page 10
Procdot

11. forensicinsight.org Page 11
Procdot

12. forensicinsight.org Page 12
Cuckoo Sandbox

13. forensicinsight.org Page 13
Cuckoo Sandbox

14. forensicinsight.org Page 14
Cuckoo Sandbox

15. forensicinsight.org Page 15
Cuckoo Sandbox

16. forensicinsight.org Page 16
Cuckoo Sandbox

17. forensicinsight.org Page 17
Cuckoo Sandbox

18. forensicinsight.org Page 18
Cuckoo Sandbox

19. forensicinsight.org Page 19
Cuckoo Sandbox

20. forensicinsight.org Page 20
Cuckoo Sandbox

21. forensicinsight.org Page 21
Viper

22. forensicinsight.org Page 22
Viper

23. forensicinsight.org Page 23
Viper

24. forensicinsight.org Page 24
Viper

25. forensicinsight.org Page 25
Viper

26. forensicinsight.org Page 26

27. forensicinsight.org Page 27
악성코드 대응

28. forensicinsight.org Page 28
방화벽 차단
 C&C 서버 차단
• 악성코드와 통신하는 서버의 IP
 DNS 차단
• 침해 자산에 설정된 DNS 서버가 아닌 악성코드 내에 고정된DNS서버 IP
 URL 차단
• 악성코드에서 접근하는 URL주소
 차단 만으로 끝?

29. forensicinsight.org Page 29
IOC
 Indicator Of Compromise-침해지표
 자산의 침해여부를 알 수 있는 흔적
 http://forensicinsight.org/slides

30. forensicinsight.org Page 30
Question and Answer