이상한 작업 수행된 윈도우 분석 1. 의심스러운 계정 생성 및 방화벽 이상 트래픽 분석 분석 중점 사항 알 수 없는 계정이 생성됨 특정 시점부터 방화벽에서 외부로 패킷이 전송되는 트래픽 확인 분석 과정 1) 계정 생성 시점 확인 - 이벤트 뷰어(Event Viewer) 활용 bash eventvw...

이상한 작업 수행된 리눅스 분석 1. 칼리 리눅스를 통한 침투 분석 로그 분석 1) 시스템 및 히스토리 로그 확인 - /var/log/audit/ 디렉터리에서 공격자의 IP(10.10.10.10) 관련 로그 분석 bash cd /var/log/audit/ cat audit.log | grep ...

네트워크 패킷 분석 시간 형식 변경 보기 → 시간 표시 형식 → 날짜와 시간 설정 패킷 분석 시 시간 포맷을 날짜와 시간으로 설정하여 가독성을 높임. 의심스러운 패킷 분석 6번 패킷이 의심스러움 → 해당 패킷 우클릭 후 HTTP 플로우 확인. 파일 추출 ...

록키 리눅스 분석 여러 작업이 수행된 파일 분석 사용자 계정으로 접속 계정 목록에 없음 클릭: 이름: root 패스워드: 록키10! 로그 확인 홈 디렉토리로 이동: cd ~ ls -al ...

루트킷 개념 루트킷은 컴퓨터 시스템에 침투하여 악의적인 활동을 수행하고, 자신의 존재를 숨기기 위한 악성 소프트웨어입니다. 주요 기능: 시스템 권한 획득 사용자 정보 탈취 시스템 제어 및 악성코드 유포 특징: 침투 후 자신의 존재를 숨기며 지속적으로 활동 ...

리눅스 분석 실습 (록키리눅스) 툴 다운로드 Live Response Collection Brimorlabs에서 Live Response Collection 다운로드 명령어 실행: unzip LiveResponseCollection-Cedarpelta.zip chmod -R 755 nix_Live_Response/ cd ni...

Linux 침해사고 분석 침해사고 분석 도구 로그 분석 도구 grep, sed, awk, tail, less: 로그 파일에서 특정 정보 검색 및 분석 시스템 모니터링 도구 top, htop, vmstat, iostat: 시스템 자원 사용량 모니터링 네트워크 분석 도구 ...

Linux 침해사고 분석 로그 분석 실습 로그인 기록 확인 명령어: grep "Failed password" /var/log/auth.log | tail -n 10 목표: 실패한 로그인 시도 및 의심스러운 IP 탐지 시스템 로그 확인 명령어: tail -n 20 /var/lo...

메모리 덤프 개념 컴퓨터의 RAM에 저장된 모든 내용을 파일로 저장하는 과정 사고 발생 당시의 시스템 상태를 포착하여 증거를 보존하는 중요한 과정 침해사고 분석의 초기 단계에서 메모리 덤프를 확보하는 것이 중요 활용 사례: 악성코드 분석, 시스템 문제 진단, 침해 사고 조사 등 종류 전체 메모리 덤프: 모든 RAM 데이터...

환경 구축 FTK Imager 설치 https://go.exterro.com/l/43312/2023-05-03/fc4b78 Redline 설치 https://fireeye.market/apps/211364 dumpit 설치 디스크 이미지 덤프 FTK Imager 실습 가상 윈도우에서 디스크 분할로 용량이 작은 디스...