2. 포렌식10 휘발성 데이터 IETF(국제인터넷 표준기구)의 '증거 수집 및 보관 지침(Guidelines for Evidence Collection and Archiving)'(RFC 3227) 1. 레지스터와 캐시 2. 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계, 메모리 3. 임시파일시스템 4. 디스크 5. 원격 로깅 및 모니터링 데이터 6. 물리적 구성, 네트워크 구조 2024. 4. 21. sysinternals cmd에서 팝업 안뜨고 실행 sysinternals 프로그램 EULA 팝업 확인 허용 요청이 안 나오게 하기 /accepteula 옵션을 넣어주면 된다 2022. 9. 18. 침해사고 조사 시 수집할 내용 침해사고에는 기록이 생명! 보고서에는 이러한 정보가 작성되어야 함 1) 공격자의 초기 접근 경로, 공격 벡터 2) 공격자의 도구, 기법, 프로세스 3) 관찰 / 위협 인텔리전스에 기반한 공격자의 동기, 목적에 대한 정보 4) 조직과 정보 시스템에 미친 영향 (정량적) 5) 사고처리자가 수행한 탐지와 대응 활동 타임라인 6) 동작 혹은 동작하지 않았던 예방 및 탐지 통제의 개요와 향후 통제를 개선하기 위한 제안 2022. 6. 1. 침해사고대응은 독립적 프로세스가 아니고 예방, 탐지, 대응의 완전한 순환이다. 사이버 사고 대응 실무 2022. 5. 31. 침해사고 관련 법 침해사고 개념 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 제2조 제1항 제7호 “침해사고”란 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”를 의미 기타 법률 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등) 정보통신서비스 제공자, 집적정보통신시설 사업자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. (그 때 : 침해사고를 인지한 때) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료) 제3항 [신고하지 않을 경우] 1천만원 이하의 과태료를 부과 2022. 5. 2. Chrome cache 위치 C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Cache 유저가 여러개면 이렇게 C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 1\Cache 2022. 5. 2. 침해사고 대응 과정 1) 사고 전 준비 : 사고가 발생하기 전 침해사고 대응 팀과 조직 대응 준비 2) 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지 / 관리자에 의한 침해사고 식별 3) 초기 대응 : 초기수사진행 / 사고 정황에 대한 기본 사항 기록 /사고 대응 팀 소집 / 관련 부서에 통지 4) 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인 획득 / 사고 조사과정에서 수사기관 공조 여부 판단 5) 사고 조사 ( 데이터 수집 / 데이터 분석 ) : 데이터 수집 분석을 통해서 수행/피해 확산 및 재발 방지 방안 결정 6) 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서 작성 7) 해결 [복구. 해결 과정] 2022. 4. 18. Triage (트리아지) 사고대응 쪽에서 많이 보이는 용어 To triage means to assign a level of importance or urgency to incidents, which then determines the order in which they will be investigated. Triage (트리아지) : 조사할 것의 순서를 정하기 위해, 사고의 긴급도 및 중요도의 수준을 할당하는 것을 의미한다고 한다. https://docs.microsoft.com/en-us/microsoft-365/security/defender/first-incident-analyze?view=o365-worldwide Step 1. Triage and analyze your first incident How to tria.. 2022. 4. 11. 침해사고 대응 과정 (사고 대응 책 목차) 초기대응 조사 복원 조사정보추적 리포팅 사고 대응 전에 준비할 것 조직이 준비할 것 1) 위험 식별 2) 성공적인 IR을 위한 정책 3) 아웃소싱 4) 세계적 사고 이슈에 대한 생각 5) 호스트 기반 보안의 사용자 교육 IR팀 준비할 것 1) 임무 정의 2) 과정 설명 3) DELIVERABLES? 4) IR 팀을 위한 자원 사고 대응을 위한 인프라 준비 1) 컴터 디바이스 설정 2) 네트워크 설정 사고 대응 바르게 조사하기 1) 초기 요인 모으기 : 체크리스트 2) 케이스 노드의 유지 : 공격 타임라인 설립 3) 조사 우선순위 이해 : 증거 요소는? 관리와 함께 기대를 설정? 4) 그래서 얻어낸 것은? LEADS의 초기 개발 1) LEADS 값 정의 2) LEADS 수행 사고의 범위 발견 1) 뭐 해야.. 2022. 4. 11. [분석용] 감염메모리 덤프 얻을 수 있는 곳 https://code.google.com/archive/p/volatility/wikis/FAQ.wiki#Are_there_any_public_memory_samples_available_that_I_can_use_for Google Code Archive - Long-term storage for Google Code Project Hosting. code.google.com https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples GitHub - volatilityfoundation/volatility: An advanced memory forensics framework An advanced memory forensics fra.. 2022. 4. 9. 이전 1 다음
