SlideShare a Scribd company logo

(Ficon2015) #4 어떻게 가져갔는가, 그리고...

INSIGHT FORENSIC
INSIGHT FORENSIC

F-INSIGHT CONFERENCE 2015

Technology
1 of 34
Download to read offline
어떻게 가져갔는가? 그리고… 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  무엇을 조사해야 하는가? 로그 vs. 아티팩트 라이브 데이터?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 (레코드, DB파일, 백업파일) • 파일서버 (파일) • 개인 PC, 노트북 (파일) • … …
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스  데이터베이스 로그 조사  우선 순위를 고려한 증거 보존!!  데이터베이스가 외부에서 접근이 가능한 경우? • 네트워크 및 웹 서버 로그 SQL Server • Transaction Log • Default Trace • Error Log • Application Log (Event Log) • Cache (Memory) MySQL • General Query Log • Slow Query Log • DDL (metadata) Log • Error Log • Binary Log • Cache (Memory) Oracle • Redo Log • TNS Listener Log • Trace Files • Sqlnet Log • Sysdba Audit Log
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 • 파일서버  파일서버 로그 조사  조사를 위한 로그가 설정되어 있는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 • 파일서버 • 개인 PC, 노트북  정보 자산의 접근 혹은 유출을 어떻게 추적할 수 있을까?  로그 및 아티팩트 상호 분석  조사를 위한 로그 혹은 아티팩트가 설정되어 있는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  어떻게 외부로 가져가는가? 인터넷 이용? 내부망 이동 인터넷이 자유로운 곳까지…
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격에서 확보한 감염 시스템 이용  내부 클라이언트 • 클라이언트에서 무엇을 볼 것인가?  이벤트 로그 (클라이언트 인증, 공유 폴더, RDP 등)  공격자 거주 흔적 (공격자 선호 경로, 파일명 패턴 등)
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 이벤트 로그 (EVTX) 이벤트 ID 이벤트 로그 설명 1000 System BSOD, WER 4624/4625 Security 계정 로그온 성공 (로그온 유형 판단) 4648 Security 명시적 자격 증명을 사용하여 로그인 시도 4728/4729 Security 글로벌 그룹에 사용자 추가/제거 4732/4733 Security 도메인 로컬 그룹에 사용자 추가/제거 4756/4757 Security 유니버설 그룹에 사용자 추가/제거 5140 Security 네트워크 파일 공유 접근 4697 Security 서비스 설치 4097 Application 윈도우 문제 보고 7000,7001,7022, 7023,7024,7026, 7031,7032,7034 System 윈도우 서비스 실패 또는 크래시 … … …
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  선호 경로  시스템 경로 (%SystemRoot%[sub][sub]) (dllcache, drivers, WOW64, …)  사용자 기본 경로 (%SystemDrive%Users[sub]) (Default, Public)  사용자 데이터 경로 (%UserProfile%AppData[sub], %SystemDrive%ProgramData[sub])  휴지통 경로 ($Recycle.Bin)  시스템 볼륨 경로 (System Volume Information)  임시 경로 (%Temp%, %LocalAppData%MicrosoftWindowsTemporary Internet Files)  알려진 경로 • %SystemDrive%Intel • %SystemDrive%HNC • … …
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  선호 경로  파일시스템 로그  MFT / INDX 슬랙 조사  볼륨 섀도 복사본  프리패치  호환성 아티팩트  윈도우 문제 보고  … … 거주 시간 증가 분석 정확도 증가
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  파일명 패턴  공격자 선호 파일 조사 (.vbs, .bat, .exe, .dll, .  한 글자 파일명  랜덤한 문자나 숫자로만 이뤄진 파일명  확장자 변경으로 시그니처 불일치  대체 데이터 스트림 (ADS, Alternative Data Stream)  압축 파일 조사 (.rar, .zip) (주로 분할 압축 사용)  … …
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  어디로 가져가는가? 해외 서버 vs. 국내 서버
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고…
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고…  침해사고 준비도 • 사고 가능성을 낮추기 위한 사전적 투자 X • 사고 발생 시 피해를 최소화하는데 목적을 둔 사전적 투자 O • 준비 능력  사후, 사고를 조기에 식별하기 위한 준비  사후, 빠르고 효과적으로 대응하여 피해를 최소화하기 위한 준비  사후, 사고의 원인과 과정을 밝혀내기 위한 준비 침해사고에 따른 비용을 최소로 하고, 신속하고 효과적으로 대응하기 위한 조직의 준비능력
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고… 준비도를 갖추기 어려운 이유? 사고 발생의 필연성을 인정할 수 있는가…?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #1 어떻게 인지되었는가? 누가 인지하였는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #1  SAFENET’S BREACH LEVEL INDEX 2014.01 ~ 2014.12
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #2 어떻게 처리되었는가? 사고로 인한 잠재위협이 모두 제거되었는가?
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #3 사고에 대한 인식의 문제 “사고를 막아보자” “사고를 조기에 식별하고 사후 대응을 체계화하여 피해를 최소화하자"
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도  APT 혹은 타겟형 공격 WEB SERVER FARM ② Vulnerability ③ DBD ① SCAN Attacker DB ④ RC/RAT ⑧ COPY DB.BAK.7Z AD Web Admin ⑤ Connect ⑥ P.T.H ⑦ COPY DB.BAK Attacker
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 1. 클라이언트 설정을 강화하자!! • 클라이언트 설정  운영체제 업그레이드  프리패치 설정 강화  NTFS 파일시스템 로그 설정 강화  NTFS 파일시스템 접근 시간 갱신 강화  로컬 방화벽 설정 강화  볼륨 섀도 복사본 설정 강화  이벤트 로그 설정 강화 • 클라이언트 데이터는 다양한 사고에 활용할 수 있음  내부자 유출, 정보감사 등
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 2. 모니터링(식별)을 강화하자!! • 차단보다는 모니터링이 필요!! • 공격자의 목적은 흔적 최소화가 아님 • 고 위험군 분류 (연구직, 영업직, 임원, 마케팅팀 등) 모니터링 • 사전에 관리된 침해사고 지표 모니터링
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 3. 신속한 대응 절차를 마련하자!! • 침해사고의 골든 타임은 얼마인가? • 사고 담당은 어느 부서에서 할 것인가? • 사고 식별 시 초기 대응 방안 마련, 사고 대상 별 데이터 수집 절차 마련 • 사고 위험도 별 대응 절차 마련
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 4. 인력을 활용하자!! • 장비/솔루션은 인력을 보완하는 역할  판단은 사람이! • 식별된 징후에 대해 분석할 수 있는 새로운 역할의 ‘분석팀‘ 필요 • 자체적인 인력을 구성하기 어렵다면  외부의 전문 감사 서비스 활용 • 대응보다는 원인 파악에 초점을 맞춘 분석! • 평시  정기/상시 감사, 위협 요인에 대한 다양한 정보 수집 및 샘플 테스트 • 전시  사고의 원인과 과정을 분석하여 보안성 강화
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 5. 관리 정책을 강화하자!! • 타겟형 공격의 많은 부분은 관리적 문제의 허점 • 이미 갖추고 있는 정책이라도 익숙해지면 취약해지기 마련 • 조직의 보안 문제를 수준별로 분류하고 그에 따른 관리정책 마련 • 마련된 정책은 지속적으로 모니터링하여 준수 여부를 감독!!!
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 6. 로그 설정을 강화하자!! • 포렌식 아티팩트 중 사실 증명이 가장 정확한 흔적 • 이미 갖추고 있는 장비 및 솔루션의 로그 설정 강화 • 목적에 맞는 클라이언트 로그 설정 강화
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 7. 형상 관리를 하자!! • 포맷은 답이 아니다! • 목적/위험도에 따라 보존 절차 마련  추후 원인 파악, 법률적 대응에 활용 • 저장장치 보관이 가능하다면 최소 3개월 이상 보관 • 용량이 부담된다면 압축하여 용량 최소화 • 사건 유형에 따라 조사에 필요한 데이터만 보관
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 8. 침해사고 지표를 관리하자!! • 침해사고를 식별할 수 있는 포렌식 아티팩트  침해 유입, 실행, 지속 아티팩트 • 대부분 타겟형 공격은 대상 조직의 유형에 따라 유사한 패턴을 보임 • 안티 포렌식 기법으로 인해 파일 기반의 지표 활용도 감소 • 분석 인력을 통해 지속적인 지표 업데이트
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 9. 가상 시뮬레이션 훈련을 시행하자!! • 국내에서 정보보호가 가장 잘 이루어지고 있는 조직은…? • 사고 대응력은 경험적 능력에 좌우!!  실제 사고를 당해봐야 하는가? • 실제와 유사한 반복적인 모의 훈련  침해사고 영향을 직원들에게 내재화
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 ”보안은 사람이 문제다” “보안은 사람이 답이다”
Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 질문 및 답변

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
INSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
INSIGHT FORENSIC
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
INSIGHT FORENSIC
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
INSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
INSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
INSIGHT FORENSIC
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
INSIGHT FORENSIC
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
INSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
INSIGHT FORENSIC
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
INSIGHT FORENSIC
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
INSIGHT FORENSIC
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
plainbit
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석
INSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
INSIGHT FORENSIC
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)
INSIGHT FORENSIC
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
plainbit
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
INSIGHT FORENSIC
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
Jason Choi
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Korea University
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전
James (SeokHun) Hwang
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Joon Young Park
 

More Related Content

What's hot

(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
INSIGHT FORENSIC
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
INSIGHT FORENSIC
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
INSIGHT FORENSIC
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
plainbit
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석
INSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
INSIGHT FORENSIC
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)
INSIGHT FORENSIC
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
plainbit
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
INSIGHT FORENSIC
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
Jason Choi
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Korea University
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 

What's hot (20)

(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
 

Similar to (Ficon2015) #4 어떻게 가져갔는가, 그리고...

무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전
James (SeokHun) Hwang
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Joon Young Park
 
디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)
silverfox2580
 
Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012
Korea University
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
INSIGHT FORENSIC
 
이노티움_카다로그.pdf
이노티움_카다로그.pdf이노티움_카다로그.pdf
이노티움_카다로그.pdf
시온시큐리티
 
02.모의해킹전문가되기
02.모의해킹전문가되기02.모의해킹전문가되기
02.모의해킹전문가되기
James (SeokHun) Hwang
 
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
Gunjung Lee
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
시온시큐리티
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!
SeungYong Yoon
 
모의해킹 전문가 되기
모의해킹 전문가 되기모의해킹 전문가 되기
모의해킹 전문가 되기
Jeremy Bae
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
GangSeok Lee
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
[D2 CAMPUS] 분야별 모임 '보안' 발표자료
[D2 CAMPUS] 분야별 모임 '보안' 발표자료[D2 CAMPUS] 분야별 모임 '보안' 발표자료
[D2 CAMPUS] 분야별 모임 '보안' 발표자료
NAVER D2
 
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.316.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
KISEC
 
16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석
KISEC
 
Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014
silverfox2580
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드
Logpresso
 

Similar to (Ficon2015) #4 어떻게 가져갔는가, 그리고... (20)

무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)
 
Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
이노티움_카다로그.pdf
이노티움_카다로그.pdf이노티움_카다로그.pdf
이노티움_카다로그.pdf
 
02.모의해킹전문가되기
02.모의해킹전문가되기02.모의해킹전문가되기
02.모의해킹전문가되기
 
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!
 
모의해킹 전문가 되기
모의해킹 전문가 되기모의해킹 전문가 되기
모의해킹 전문가 되기
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
[D2 CAMPUS] 분야별 모임 '보안' 발표자료
[D2 CAMPUS] 분야별 모임 '보안' 발표자료[D2 CAMPUS] 분야별 모임 '보안' 발표자료
[D2 CAMPUS] 분야별 모임 '보안' 발표자료
 
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.316.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
 
16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석
 
Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드
 

More from INSIGHT FORENSIC

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
INSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
INSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
INSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
INSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
INSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
INSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
INSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
INSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
INSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
INSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
INSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
INSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
INSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
 

(Ficon2015) #4 어떻게 가져갔는가, 그리고...

  • 1. 어떻게 가져갔는가? 그리고… 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
  • 2. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?
  • 3. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?
  • 4. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  무엇을 조사해야 하는가? 로그 vs. 아티팩트 라이브 데이터?
  • 5. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 (레코드, DB파일, 백업파일) • 파일서버 (파일) • 개인 PC, 노트북 (파일) • … …
  • 6. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스  데이터베이스 로그 조사  우선 순위를 고려한 증거 보존!!  데이터베이스가 외부에서 접근이 가능한 경우? • 네트워크 및 웹 서버 로그 SQL Server • Transaction Log • Default Trace • Error Log • Application Log (Event Log) • Cache (Memory) MySQL • General Query Log • Slow Query Log • DDL (metadata) Log • Error Log • Binary Log • Cache (Memory) Oracle • Redo Log • TNS Listener Log • Trace Files • Sqlnet Log • Sysdba Audit Log
  • 7. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 • 파일서버  파일서버 로그 조사  조사를 위한 로그가 설정되어 있는가?
  • 8. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  정보자산이 어디에 저장되어 있는가? • 데이터베이스 • 파일서버 • 개인 PC, 노트북  정보 자산의 접근 혹은 유출을 어떻게 추적할 수 있을까?  로그 및 아티팩트 상호 분석  조사를 위한 로그 혹은 아티팩트가 설정되어 있는가?
  • 9. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  어떻게 외부로 가져가는가? 인터넷 이용? 내부망 이동 인터넷이 자유로운 곳까지…
  • 10. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격에서 확보한 감염 시스템 이용  내부 클라이언트 • 클라이언트에서 무엇을 볼 것인가?  이벤트 로그 (클라이언트 인증, 공유 폴더, RDP 등)  공격자 거주 흔적 (공격자 선호 경로, 파일명 패턴 등)
  • 11. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 이벤트 로그 (EVTX) 이벤트 ID 이벤트 로그 설명 1000 System BSOD, WER 4624/4625 Security 계정 로그온 성공 (로그온 유형 판단) 4648 Security 명시적 자격 증명을 사용하여 로그인 시도 4728/4729 Security 글로벌 그룹에 사용자 추가/제거 4732/4733 Security 도메인 로컬 그룹에 사용자 추가/제거 4756/4757 Security 유니버설 그룹에 사용자 추가/제거 5140 Security 네트워크 파일 공유 접근 4697 Security 서비스 설치 4097 Application 윈도우 문제 보고 7000,7001,7022, 7023,7024,7026, 7031,7032,7034 System 윈도우 서비스 실패 또는 크래시 … … …
  • 12. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  선호 경로  시스템 경로 (%SystemRoot%[sub][sub]) (dllcache, drivers, WOW64, …)  사용자 기본 경로 (%SystemDrive%Users[sub]) (Default, Public)  사용자 데이터 경로 (%UserProfile%AppData[sub], %SystemDrive%ProgramData[sub])  휴지통 경로 ($Recycle.Bin)  시스템 볼륨 경로 (System Volume Information)  임시 경로 (%Temp%, %LocalAppData%MicrosoftWindowsTemporary Internet Files)  알려진 경로 • %SystemDrive%Intel • %SystemDrive%HNC • … …
  • 13. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  선호 경로  파일시스템 로그  MFT / INDX 슬랙 조사  볼륨 섀도 복사본  프리패치  호환성 아티팩트  윈도우 문제 보고  … … 거주 시간 증가 분석 정확도 증가
  • 14. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  내부망 이동은 어떻게 탐지하는가? • 공격자 거주 흔적  파일명 패턴  공격자 선호 파일 조사 (.vbs, .bat, .exe, .dll, .  한 글자 파일명  랜덤한 문자나 숫자로만 이뤄진 파일명  확장자 변경으로 시그니처 불일치  대체 데이터 스트림 (ADS, Alternative Data Stream)  압축 파일 조사 (.rar, .zip) (주로 분할 압축 사용)  … …
  • 15. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 어떻게 가져갔는가?  어디로 가져가는가? 해외 서버 vs. 국내 서버
  • 16. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고…
  • 17. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고…  침해사고 준비도 • 사고 가능성을 낮추기 위한 사전적 투자 X • 사고 발생 시 피해를 최소화하는데 목적을 둔 사전적 투자 O • 준비 능력  사후, 사고를 조기에 식별하기 위한 준비  사후, 빠르고 효과적으로 대응하여 피해를 최소화하기 위한 준비  사후, 사고의 원인과 과정을 밝혀내기 위한 준비 침해사고에 따른 비용을 최소로 하고, 신속하고 효과적으로 대응하기 위한 조직의 준비능력
  • 18. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 그리고… 준비도를 갖추기 어려운 이유? 사고 발생의 필연성을 인정할 수 있는가…?
  • 19. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #1 어떻게 인지되었는가? 누가 인지하였는가?
  • 20. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #1  SAFENET’S BREACH LEVEL INDEX 2014.01 ~ 2014.12
  • 21. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #2 어떻게 처리되었는가? 사고로 인한 잠재위협이 모두 제거되었는가?
  • 22. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고의 일반적 문제 #3 사고에 대한 인식의 문제 “사고를 막아보자” “사고를 조기에 식별하고 사후 대응을 체계화하여 피해를 최소화하자"
  • 23. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도  APT 혹은 타겟형 공격 WEB SERVER FARM ② Vulnerability ③ DBD ① SCAN Attacker DB ④ RC/RAT ⑧ COPY DB.BAK.7Z AD Web Admin ⑤ Connect ⑥ P.T.H ⑦ COPY DB.BAK Attacker
  • 24. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 1. 클라이언트 설정을 강화하자!! • 클라이언트 설정  운영체제 업그레이드  프리패치 설정 강화  NTFS 파일시스템 로그 설정 강화  NTFS 파일시스템 접근 시간 갱신 강화  로컬 방화벽 설정 강화  볼륨 섀도 복사본 설정 강화  이벤트 로그 설정 강화 • 클라이언트 데이터는 다양한 사고에 활용할 수 있음  내부자 유출, 정보감사 등
  • 25. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 2. 모니터링(식별)을 강화하자!! • 차단보다는 모니터링이 필요!! • 공격자의 목적은 흔적 최소화가 아님 • 고 위험군 분류 (연구직, 영업직, 임원, 마케팅팀 등) 모니터링 • 사전에 관리된 침해사고 지표 모니터링
  • 26. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 3. 신속한 대응 절차를 마련하자!! • 침해사고의 골든 타임은 얼마인가? • 사고 담당은 어느 부서에서 할 것인가? • 사고 식별 시 초기 대응 방안 마련, 사고 대상 별 데이터 수집 절차 마련 • 사고 위험도 별 대응 절차 마련
  • 27. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 4. 인력을 활용하자!! • 장비/솔루션은 인력을 보완하는 역할  판단은 사람이! • 식별된 징후에 대해 분석할 수 있는 새로운 역할의 ‘분석팀‘ 필요 • 자체적인 인력을 구성하기 어렵다면  외부의 전문 감사 서비스 활용 • 대응보다는 원인 파악에 초점을 맞춘 분석! • 평시  정기/상시 감사, 위협 요인에 대한 다양한 정보 수집 및 샘플 테스트 • 전시  사고의 원인과 과정을 분석하여 보안성 강화
  • 28. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 5. 관리 정책을 강화하자!! • 타겟형 공격의 많은 부분은 관리적 문제의 허점 • 이미 갖추고 있는 정책이라도 익숙해지면 취약해지기 마련 • 조직의 보안 문제를 수준별로 분류하고 그에 따른 관리정책 마련 • 마련된 정책은 지속적으로 모니터링하여 준수 여부를 감독!!!
  • 29. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 6. 로그 설정을 강화하자!! • 포렌식 아티팩트 중 사실 증명이 가장 정확한 흔적 • 이미 갖추고 있는 장비 및 솔루션의 로그 설정 강화 • 목적에 맞는 클라이언트 로그 설정 강화
  • 30. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 7. 형상 관리를 하자!! • 포맷은 답이 아니다! • 목적/위험도에 따라 보존 절차 마련  추후 원인 파악, 법률적 대응에 활용 • 저장장치 보관이 가능하다면 최소 3개월 이상 보관 • 용량이 부담된다면 압축하여 용량 최소화 • 사건 유형에 따라 조사에 필요한 데이터만 보관
  • 31. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 8. 침해사고 지표를 관리하자!! • 침해사고를 식별할 수 있는 포렌식 아티팩트  침해 유입, 실행, 지속 아티팩트 • 대부분 타겟형 공격은 대상 조직의 유형에 따라 유사한 패턴을 보임 • 안티 포렌식 기법으로 인해 파일 기반의 지표 활용도 감소 • 분석 인력을 통해 지속적인 지표 업데이트
  • 32. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 9. 가상 시뮬레이션 훈련을 시행하자!! • 국내에서 정보보호가 가장 잘 이루어지고 있는 조직은…? • 사고 대응력은 경험적 능력에 좌우!!  실제 사고를 당해봐야 하는가? • 실제와 유사한 반복적인 모의 훈련  침해사고 영향을 직원들에게 내재화
  • 33. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 침해사고 준비도 ”보안은 사람이 문제다” “보안은 사람이 답이다”
  • 34. Digital Forensics Specialist Group 1st FORENSIC INSIGHT CONFERENCE 2015 질문 및 답변