(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
- 1. FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA 빠르게 끝내는 악성코드 분석 및 대응 Dalgomtaeng dalgomtaeng@gmail.com Dalgomtaeng.blogspot.kr @dalgomtaeng
- 2. forensicinsight.org Page 2 Who Am I ? 관심사 : DFIR, Elastic, Opensource
- 3. forensicinsight.org Page 3 목차 1. 악성코드 분석 • Virustotal • Procmon • Procdot • Cuckoo Sandbox • Viper 2. 악성코드 대응 • 방화벽 차단 • IOC
- 4. forensicinsight.org Page 4 악성코드 분석 - 빠르게 빠르게~
- 5. forensicinsight.org Page 5 Intro 왜 빠르게 분석해야 하는가? • 한정된 분석 시간 • 침해 원인 파악에 비중 • 또 다른 침해 자산에 대한 확인을 위함 어떤 결과가 필요한가? • 분석가가 쉽고 간편하게 볼 수 자료 • 고객이 이해할 수 있는 쉬운 자료
- 12. forensicinsight.org Page 12 Cuckoo Sandbox
- 13. forensicinsight.org Page 13 Cuckoo Sandbox
- 14. forensicinsight.org Page 14 Cuckoo Sandbox
- 15. forensicinsight.org Page 15 Cuckoo Sandbox
- 16. forensicinsight.org Page 16 Cuckoo Sandbox
- 17. forensicinsight.org Page 17 Cuckoo Sandbox
- 18. forensicinsight.org Page 18 Cuckoo Sandbox
- 19. forensicinsight.org Page 19 Cuckoo Sandbox
- 20. forensicinsight.org Page 20 Cuckoo Sandbox
- 28. forensicinsight.org Page 28 방화벽 차단 C&C 서버 차단 • 악성코드와 통신하는 서버의 IP DNS 차단 • 침해 자산에 설정된 DNS 서버가 아닌 악성코드 내에 고정된DNS서버 IP URL 차단 • 악성코드에서 접근하는 URL주소 차단 만으로 끝?
- 29. forensicinsight.org Page 29 IOC Indicator Of Compromise-침해지표 자산의 침해여부를 알 수 있는 흔적 http://forensicinsight.org/slides
- 30. forensicinsight.org Page 30 Question and Answer