소포스 인터셉트 엑스는 크게 3가지의 주요 기능을 제공합니다.
1. 랜섬웨어 방어 – Crypto Guard – 악의적인 암호화가 진행되는 것을 감지하여 랜섬웨어 공격을 차단하며, 영향 받은 파일들을 원상태로 복구합니다.
2. 시그니처없이 취약점 공격(Exploit) 차단 – 시그너처 기반이 아니라 해커가 악의 적으로 사용하는 여러 해킹 기술들을 차단합니다.
3. 위협 원인 상세 분석 – Root Cause Analysis – 감염/위협의 원인이 되는 프로세스/레지스트리/파일 등의 상관관계를 비주얼하게 보여줍니다. (소포스센트럴에서 제공)
- 소포스 인터셉트 엑스는 소포스 센트럴(Sophos Central)을 통해 중앙 관리 됩니다.
- 별도의 시그니처가 설치되지 않기 때문에 초경량의 리소스를 사용하며, 사용자/성능의 영향을 최소화 합니다.
- 소포스 센트럴은 아직 한글화가 되어 있지 않습니다만, 클라이언트에 설치되는 소포스 인터셉트 엑스는 한글 버전이 적용되어 있습니다.
- 기존에 설치된 안티바이러스 (소포스 포함, 시만텍/카스퍼스키/비트디펜더 등등의 경쟁사 안티바이러스 포함) 제품을 제거하실 필요가 없습니다.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
2013 CodeEngn Conference 09
최근 조직의 침해는 조직의 보안 환경이 강화되면서 장기간에 걸쳐 일어난다. 목적을 달성할때까지 지속 매커니즘을 사용하여 시스템에 잠복하거나 다른 시스템으로 이동해간다. 이런 상황에서 악성코드가 사용하는 지속 매커니즘은 무엇이 있는지, 그리고 침해사고를 조기에 인지하여 악성코드의 유입 경로를 찾을 수 있는 방안을 살펴본다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
AppCheck Pro 랜섬웨어 백신은 “상황 인식 기반 랜섬웨어 행위 탐지(Context-awareness based ransomware behavior detection)” 기술이 적용된 캅(CARB)엔진으로 현재까지 발견된 패턴 뿐 아니라 차후 출현 가능한 랜섬웨어까지도 탐지하여 기존 백신의 탐지 및 대응 방식으로는 빠르게 대응할 수 없는 랜섬웨어 위협으로부터 가장 확실하고 안전하게 방어할 수 있습니다
This document discusses the $UsnJrnl journal file in NTFS file systems and its use for digital forensics investigations. The $UsnJrnl file records changes made to files and directories on the system. Tools are discussed for extracting and parsing the $UsnJrnl records to analyze file system activity and trace deleted files. The document also introduces NTFS Log Tracker v1.4, a tool that can carve $UsnJrnl records from unallocated space and perform keyword searches across recovered records.
This document discusses digital forensics analysis of call history and SMS data on Apple devices running OS X Yosemite. It provides information on the file paths and database formats used to store call history and SMS data, as well as the attributes that can be analyzed, such as sending/receiving dates, durations, and contact details. It also mentions that call history data may be encrypted and requires decryption to view contact details.
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
This document discusses extracting digital evidence from an Android-based Samsung Galaxy Gear smartwatch. It describes accessing the smartwatch by rooting it and then imaging the internal memory to extract potential digital evidence files. Four specific files are identified that could provide useful evidence, including Bluetooth pairing information, SMS/email sync data, find my device activity logs, and local weather information tied to location. The conclusion speculates that future work will focus on extracting evidence from newer Galaxy Gear models.
This document discusses SQLite record recovery from deleted areas of an SQLite database file. It begins with an introduction to SQLite and why it is useful for forensic analysis. It then covers the structure of SQLite database files including header pages, table B-trees, index B-trees, overflow pages, and free pages. The document simulates traversing and parsing the cells within a table B-tree to understand how records are stored and indexed. It aims to help analysts understand SQLite file structure to enable recovery of deleted records through analysis of unused areas.
This document discusses techniques for obfuscating URLs to hide malicious intent. It begins with an overview of URL shortening services that can be used to hide the destination of a link. Various methods for obfuscating URLs are then described, including encoding IP addresses in octal format, URL encoding, and tricks involving the URI structure. The document provides a challenge for safely deconstructing an obfuscated URL step-by-step either manually or automatically. It concludes with an explanation of how the challenge URL was obfuscated using chaining of different techniques.
The document discusses China's strategy of internet censorship and control. It mentions China's large number of internet users and rapid growth of mobile internet users. It then discusses China's strategy of "human-wave" attacks to overwhelm websites with traffic to enact censorship. Next, it discusses China's extensive censorship system called the "Great Firewall" and how it uses techniques like IP blocking and DNS filtering to control internet access and content. Finally, it briefly mentions the black market for DDoS attacks and real-money trading that has emerged from China's controls.
The document discusses several advanced persistent threats (APTs) that have targeted systems in Korea and other countries, including the LuckyCat, Heartbeat, and Flashback malware campaigns. It provides details on the attacks, malware components, command and control infrastructure, and technical analysis of the threats. The document aims to help the digital forensics community in Korea understand these sophisticated cyber espionage activities and improve defenses against similar attacks.
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
This document summarizes trends in digital forensics from South Korea in December 2012. It discusses extracting malware from NTFS extended attributes, analyzing prefetch files, and trends for 2013 including growing mobile malware. It also summarizes testing of Windows 8 involving installing applications, connecting web accounts, and imaging a test laptop to analyze forensic artifacts.
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
This document discusses digital forensics and the legal system in Korea. It provides an overview of criminal and civil judicial procedures, the role of expert witnesses, and precedents. It also examines the qualifications and certification process for digital forensics experts in Korea and other countries like the US. Key topics covered include how digital evidence is handled and the advantages of having an officially recognized expert.
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
This document provides an overview of extracting Bash command history from Unix memory images using digital forensics techniques. It discusses how Bash stores command history in memory and on disk, and how forensic analysts can extract that history from a memory dump. It includes a case study demonstrating extracting Bash history from multiple processes and showing that the "history -c" command only clears history for that individual process. The document aims to help digital forensics practitioners recover command history during memory forensics investigations.
4. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
무엇을 조사해야 하는가?
로그 vs. 아티팩트
라이브 데이터?
5. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
정보자산이 어디에 저장되어 있는가?
• 데이터베이스 (레코드, DB파일, 백업파일)
• 파일서버 (파일)
• 개인 PC, 노트북 (파일)
• … …
6. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
정보자산이 어디에 저장되어 있는가?
• 데이터베이스
데이터베이스 로그 조사 우선 순위를 고려한 증거 보존!!
데이터베이스가 외부에서 접근이 가능한 경우?
• 네트워크 및 웹 서버 로그
SQL Server
• Transaction Log
• Default Trace
• Error Log
• Application Log
(Event Log)
• Cache (Memory)
MySQL
• General Query Log
• Slow Query Log
• DDL (metadata) Log
• Error Log
• Binary Log
• Cache (Memory)
Oracle
• Redo Log
• TNS Listener Log
• Trace Files
• Sqlnet Log
• Sysdba Audit Log
7. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
정보자산이 어디에 저장되어 있는가?
• 데이터베이스
• 파일서버
파일서버 로그 조사 조사를 위한 로그가 설정되어 있는가?
8. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
정보자산이 어디에 저장되어 있는가?
• 데이터베이스
• 파일서버
• 개인 PC, 노트북
정보 자산의 접근 혹은 유출을 어떻게 추적할 수 있을까? 로그 및 아티팩트 상호 분석
조사를 위한 로그 혹은 아티팩트가 설정되어 있는가?
9. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
어떻게 외부로 가져가는가?
인터넷 이용?
내부망 이동
인터넷이 자유로운 곳까지…
10. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
내부망 이동은 어떻게 탐지하는가?
• 공격에서 확보한 감염 시스템 이용 내부 클라이언트
• 클라이언트에서 무엇을 볼 것인가?
이벤트 로그 (클라이언트 인증, 공유 폴더, RDP 등)
공격자 거주 흔적 (공격자 선호 경로, 파일명 패턴 등)
11. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
내부망 이동은 어떻게 탐지하는가?
• 이벤트 로그 (EVTX)
이벤트 ID 이벤트 로그 설명
1000 System BSOD, WER
4624/4625 Security 계정 로그온 성공 (로그온 유형 판단)
4648 Security 명시적 자격 증명을 사용하여 로그인 시도
4728/4729 Security 글로벌 그룹에 사용자 추가/제거
4732/4733 Security 도메인 로컬 그룹에 사용자 추가/제거
4756/4757 Security 유니버설 그룹에 사용자 추가/제거
5140 Security 네트워크 파일 공유 접근
4697 Security 서비스 설치
4097 Application 윈도우 문제 보고
7000,7001,7022,
7023,7024,7026,
7031,7032,7034
System 윈도우 서비스 실패 또는 크래시
… … …
12. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
내부망 이동은 어떻게 탐지하는가?
• 공격자 거주 흔적 선호 경로
시스템 경로 (%SystemRoot%[sub][sub]) (dllcache, drivers, WOW64, …)
사용자 기본 경로 (%SystemDrive%Users[sub]) (Default, Public)
사용자 데이터 경로 (%UserProfile%AppData[sub], %SystemDrive%ProgramData[sub])
휴지통 경로 ($Recycle.Bin)
시스템 볼륨 경로 (System Volume Information)
임시 경로 (%Temp%, %LocalAppData%MicrosoftWindowsTemporary Internet Files)
알려진 경로
• %SystemDrive%Intel
• %SystemDrive%HNC
• … …
13. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
내부망 이동은 어떻게 탐지하는가?
• 공격자 거주 흔적 선호 경로
파일시스템 로그
MFT / INDX 슬랙 조사
볼륨 섀도 복사본
프리패치
호환성 아티팩트
윈도우 문제 보고
… …
거주
시간
증가
분석
정확도
증가
14. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
어떻게 가져갔는가?
내부망 이동은 어떻게 탐지하는가?
• 공격자 거주 흔적 파일명 패턴
공격자 선호 파일 조사 (.vbs, .bat, .exe, .dll, .
한 글자 파일명
랜덤한 문자나 숫자로만 이뤄진 파일명
확장자 변경으로 시그니처 불일치
대체 데이터 스트림 (ADS, Alternative Data Stream)
압축 파일 조사 (.rar, .zip) (주로 분할 압축 사용)
… …
17. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
그리고…
침해사고 준비도
• 사고 가능성을 낮추기 위한 사전적 투자 X
• 사고 발생 시 피해를 최소화하는데 목적을 둔 사전적 투자 O
• 준비 능력
사후, 사고를 조기에 식별하기 위한 준비
사후, 빠르고 효과적으로 대응하여 피해를 최소화하기 위한 준비
사후, 사고의 원인과 과정을 밝혀내기 위한 준비
침해사고에 따른 비용을 최소로 하고, 신속하고 효과적으로 대응하기 위한 조직의 준비능력
18. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
그리고…
준비도를 갖추기 어려운 이유?
사고 발생의 필연성을
인정할 수 있는가…?
20. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고의 일반적 문제 #1
SAFENET’S
BREACH
LEVEL INDEX
2014.01
~
2014.12
21. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고의 일반적 문제 #2
어떻게 처리되었는가?
사고로 인한 잠재위협이
모두 제거되었는가?
22. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고의 일반적 문제 #3
사고에 대한 인식의 문제
“사고를 막아보자”
“사고를 조기에 식별하고 사후 대응을
체계화하여 피해를 최소화하자"
23. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
APT 혹은 타겟형 공격
WEB SERVER FARM
② Vulnerability
③ DBD
① SCAN
Attacker
DB
④ RC/RAT
⑧ COPY
DB.BAK.7Z
AD
Web
Admin
⑤ Connect
⑥ P.T.H
⑦ COPY
DB.BAK
Attacker
24. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
1. 클라이언트 설정을 강화하자!!
• 클라이언트 설정
운영체제 업그레이드
프리패치 설정 강화
NTFS 파일시스템 로그 설정 강화
NTFS 파일시스템 접근 시간 갱신 강화
로컬 방화벽 설정 강화
볼륨 섀도 복사본 설정 강화
이벤트 로그 설정 강화
• 클라이언트 데이터는 다양한 사고에 활용할 수 있음
내부자 유출, 정보감사 등
25. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
2. 모니터링(식별)을 강화하자!!
• 차단보다는 모니터링이 필요!!
• 공격자의 목적은 흔적 최소화가 아님
• 고 위험군 분류 (연구직, 영업직, 임원, 마케팅팀 등) 모니터링
• 사전에 관리된 침해사고 지표 모니터링
26. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
3. 신속한 대응 절차를 마련하자!!
• 침해사고의 골든 타임은 얼마인가?
• 사고 담당은 어느 부서에서 할 것인가?
• 사고 식별 시 초기 대응 방안 마련, 사고 대상 별 데이터 수집 절차 마련
• 사고 위험도 별 대응 절차 마련
27. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
4. 인력을 활용하자!!
• 장비/솔루션은 인력을 보완하는 역할 판단은 사람이!
• 식별된 징후에 대해 분석할 수 있는 새로운 역할의 ‘분석팀‘ 필요
• 자체적인 인력을 구성하기 어렵다면 외부의 전문 감사 서비스 활용
• 대응보다는 원인 파악에 초점을 맞춘 분석!
• 평시 정기/상시 감사, 위협 요인에 대한 다양한 정보 수집 및 샘플 테스트
• 전시 사고의 원인과 과정을 분석하여 보안성 강화
28. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
5. 관리 정책을 강화하자!!
• 타겟형 공격의 많은 부분은 관리적 문제의 허점
• 이미 갖추고 있는 정책이라도 익숙해지면 취약해지기 마련
• 조직의 보안 문제를 수준별로 분류하고 그에 따른 관리정책 마련
• 마련된 정책은 지속적으로 모니터링하여 준수 여부를 감독!!!
29. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
6. 로그 설정을 강화하자!!
• 포렌식 아티팩트 중 사실 증명이 가장 정확한 흔적
• 이미 갖추고 있는 장비 및 솔루션의 로그 설정 강화
• 목적에 맞는 클라이언트 로그 설정 강화
30. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
7. 형상 관리를 하자!!
• 포맷은 답이 아니다!
• 목적/위험도에 따라 보존 절차 마련 추후 원인 파악, 법률적 대응에 활용
• 저장장치 보관이 가능하다면 최소 3개월 이상 보관
• 용량이 부담된다면 압축하여 용량 최소화
• 사건 유형에 따라 조사에 필요한 데이터만 보관
31. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
8. 침해사고 지표를 관리하자!!
• 침해사고를 식별할 수 있는 포렌식 아티팩트 침해 유입, 실행, 지속 아티팩트
• 대부분 타겟형 공격은 대상 조직의 유형에 따라 유사한 패턴을 보임
• 안티 포렌식 기법으로 인해 파일 기반의 지표 활용도 감소
• 분석 인력을 통해 지속적인 지표 업데이트
32. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015
침해사고 준비도
9. 가상 시뮬레이션 훈련을 시행하자!!
• 국내에서 정보보호가 가장 잘 이루어지고 있는 조직은…?
• 사고 대응력은 경험적 능력에 좌우!! 실제 사고를 당해봐야 하는가?
• 실제와 유사한 반복적인 모의 훈련 침해사고 영향을 직원들에게 내재화