Upload File

(fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

  • Home
  • Technology
  • (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
30
FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA 빠르게 끝내는 악성코드 분석 및 대응 Dalgomtaeng [email protected] Dalgomtaeng.blogspot.kr @dalgomtaeng

Upload: insight-forensic

Post on 12-Apr-2017

71 views

Category:

Technology


6 download

Report

TRANSCRIPT

Page 1: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

FORENSIC INSIGHT;

DIGITAL FORENSICS COMMUNITY IN KOREA

빠르게 끝내는 악성코드 분석 및 대응

Dalgomtaeng

[email protected]

Dalgomtaeng.blogspot.kr

@dalgomtaeng

Page 2: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 2

Who Am I ?

관심사 : DFIR, Elastic, Opensource

Page 3: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 3

목차

1. 악성코드 분석

• Virustotal

• Procmon

• Procdot

• Cuckoo Sandbox

• Viper

2. 악성코드 대응

• 방화벽 차단

• IOC

Page 4: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 4

악성코드 분석

- 빠르게 빠르게~

Page 5: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 5

Intro

왜 빠르게 분석해야 하는가?

• 한정된 분석 시간

• 침해 원인 파악에 비중

• 또 다른 침해 자산에 대한 확인을 위함

어떤 결과가 필요한가?

• 분석가가 쉽고 간편하게 볼수 자료

• 고객이 이해할 수 있는 쉬운 자료

Page 6: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 6

Virustotal

Page 7: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 7

Procmon

Page 8: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 8

Procdot

Page 9: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 9

Procdot

Page 10: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 10

Procdot

Page 11: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 11

Procdot

Page 12: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 12

Cuckoo Sandbox

Page 13: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 13

Cuckoo Sandbox

Page 14: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 14

Cuckoo Sandbox

Page 15: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 15

Cuckoo Sandbox

Page 16: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 16

Cuckoo Sandbox

Page 17: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 17

Cuckoo Sandbox

Page 18: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 18

Cuckoo Sandbox

Page 19: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 19

Cuckoo Sandbox

Page 20: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 20

Cuckoo Sandbox

Page 21: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 21

Viper

Page 22: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 22

Viper

Page 23: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 23

Viper

Page 24: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 24

Viper

Page 25: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 25

Viper

Page 26: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 26

Page 27: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 27

악성코드 대응

Page 28: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 28

방화벽 차단

C&C 서버 차단

• 악성코드와 통신하는 서버의 IP

DNS 차단

• 침해 자산에 설정된 DNS 서버가 아닌 악성코드 내에 고정된DNS서버 IP

URL 차단

• 악성코드에서 접근하는 URL주소

차단 만으로 끝?

Page 29: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 29

IOC

Indicator Of Compromise-침해지표

자산의 침해여부를 알 수 있는 흔적

http://forensicinsight.org/slides

Page 30: (Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응

forensicinsight.org Page 30

Question and Answer


liveupdate.alyac.co.krliveupdate.alyac.co.kr/etc/alyac_report_1205.pdf · 을 위장한 악성코드, os를 노린 악성코드, 가짜 금융사이트, 한국 악성코드 감염률

6시간에 끝내는 생활영어 회화천사 5형식/준동사cdn.podbbang.com/data1/miklish/dailypreview.pdf · 2017-01-17 · 6시간에 끝내는 생활영어 회화천사: 5형식/준동사

진화하는 악성코드…파밍큐싱 결합해 PC스마트폰 동시 공격 · 진화하는 악성코드…파밍․큐싱 결합해 pc․스마트폰 동시 공격 파밍으로

빠르게 활용하는 JBoss 5

빠르게 활용하는 파이썬 3.2 프로그래밍

중국어발음 한중.ppt - 호환성 모드¤‘국어... · 2018-05-12 · 3 “씨마일중국어"앱 7일만에 끝내는 중국어 발음은… 하루에 5분씩 쉽고 빠르게

보안 위협 형태와 악성코드 분석 기법

퍼펙트 자바스크립트 : 한 권으로 끝내는 모던 자바스크립트 프로그래밍

인터넷뱅킹 악성코드 감염 시 치료방법img.shinhan.com/guide.pdf신한은행 인터넷뱅킹 악성코드 치료방법 안내 2/9 거래 멈춤현상 등 신종 악성코드

일주일만에 끝내는 MySQL

JSP 빠르게 시작하기

2007년 6월 악성코드 최신 동향과 대응

liveupdate.alyac.co.krliveupdate.alyac.co.kr/etc/alyac_report_1309.pdf페이지 | 6 Part Ⅰ 8월의 악성코드 통계 2. 악성코드 이슈 분석 – “포털사이트 배너

온라인 게임 핵 악성코드 분석

보안 동향 보고서 - ESTsecurity€¦ · 01 이스트시큐리티 통계 및 분석 01 악성코드 통계 및 분석 악성코드 동향 알약 악성코드 탐지 통계 허니팟/트래+

2시간에 끝내는 한글영어 발음천사 - podbbang.comcdn.podbbang.com/data1/miklish/preview.pdf2시간에 끝내는 한글영어 발음천사 1판 1쇄 2016년 7월 4일 지은이

1. 악성코드 진단 기법 개론

2. 악성코드 분석 방법론과 기법

1.악성코드 최신 동향과 기법

임신부터 산후조리까지 한권에 끝내는 한방백과

빠르게 활용하는 파이썬3 스터디(ch1~4)

악성코드 최신 동향과 기법

모바일 악성코드, 그것이 알고싶다

악성코드 동향 및 대응 방안

야매피티 : 빠르게 그럴듯한 피피티 만들기

AhnLab 온라인 게임 해킹 악성코드 분석myucc.cafe24.com/pdf/세션3/(3)_온라인 게임 해킹 악성코드 분석 (이주석... · 온라인 게임 해킹 악성코드

NoSQL 프로그래밍 : 한 권으로 끝내는 NoSQL 솔루션 활용법

Jenkins와 Gitlab으로 쉽고 빠르게 구축하는 협업시스템

Agile scrum 빠르게 보기

쉽고 빠르게 익히는 CSS3

보안 위협과 악성코드 분석 기법

제78회 안드로이드 플랫폼과 악성코드

2. programming과 빠르게 친해지기

악성코드 분석 도구

3.ahn report를 이용한 악성코드 대응