개념 : 모든 전자 적인 공격 행위 및 그 결과에 따라 발생한 각종 피해
현재 : 최근 지능화되고 자동화된 공격기법이 늘어나고 있음.
<특징>
1. 대규모 : 동시에 다수의 서버를 공격
2. 분산화 : 다수의 서버에서 목표시스템을 공격
3. 대중화 : 해킹관련 정보의 손쉬운 흭득
4. 범죄적 성향 : 금전적 이익,산업정보 침탈, 정치적 목적
사고 전 준비과정 : 사고 발생전 침해사고 대응 팀과 조직적인 대응을 준비
사고 탐지 : 정보보호 및 네트워크 장비에 이상 징후 식별, 관리자에 의해 침해사고 탐지
초기 대응 : 사고 정황에 대한 기본적인 세부정황 기록, 사고 대응팀 신고 및 수집, 침해사고 관련 부서 통지
대응 전략 체계화 : 최적의 전략을 결정하고, 관리자 승인을 흭득, 초기 조사 결과를 참고해 소송이 필요한지 결정하고, 수사기관 공조 여부 판단
사고조사: 데이터 수집 및 분석을 통해 언제,누가,어떻게 사고가 생겼는지 정황 확인 및 사고 재발 방지 방법 수립
보고서 작성 : 차기 유사 공격을 예방하기 위한 보안 정책 수립 및 기술 수정
호스트 기반 정보 수집 방법 : Live Response가 수행되어야 함.
Live Rsponse 종류
수집해야 할 휘발성 데이터의 종류 :
1. 시스템 날짜와 시간
2. 시스템에 동작 중인 서비스
등
네트워크 관련 데이터를 수집 방법 : 보안솔루션
1. 호스트기반 정보 수집
: 증거 매체의 디스크 복제작업을 해야 할지 결정
- 사고 조사가 어렵거나, 지워진 데이터를 복구해야 한다면 디스크 복제작업이 유용 : 디스크 포렌식이라고 한다.
- 디스크 복제는 컴퓨터 포렌식 기술을 사용한다.
- 대상 시스템과 완벽히 동일한 복사본이미지를 제공함.
- 잠재적인 증거가 파괴되거나 변조될 거라는 걱정을 없게 만듦
* 포렌식 기술 : 정보기기에 내장된 디지털 자료를 근거로 발생한 어떤 행위의 사실 관계를 규명하고 증명하는데 사용하는 기술
2. 데이터 분석
: 모든 수집된 정보의 전체적 조사를 의미한다.
-1) 데이터 분석 대상
- 휘발성데이터 분석(네트워크 분석조사, 악의적인 코드 식별(백도어나 스니퍼)
- 파일 시간 및 날짜 정보(공격자에 의해 업로드된 파일, 시스템으로 업로드되거나 다운로드 된 파일)
- 레지스트리
- 로그파일
- 일반적이지 않거나 숨겨진 파일
- 비인가 된 사용자 계정
아래의 패킷을 이용해 wireshark에서 패킷을 분석하고 아래의 질문에 답해보자.
1. 어떤 프로토콜을 이용하여 파일을 전송 하였는가?
2. 파일을 수신하는 호스트의 IP 주소는 무엇인가?
3. 전송되는 파일의 이름은 무엇입니까?
보너스 : 희생자가 지금 어떤 공격을 당하고 있는지 파악한 후 해당 공격에 대해 서술하시오
TFTP 프로토콜을 이용해 서버에서 msblast.exe라는 파일을 전송하는 것을 보인다.
141.157.228.12가 처음 SYN을 보낸 것으로 보았을 때
141.157.228.12가 client PC임을 알 수 있고,
SYN을 reply한 10.1.1.31이 서버임을 알 수 있다.
