침해사고분석 실습 1

윈도우 레지스트리

Registry Explorer

Autoruns

프로세스 모니터

TCP View

REGA

---

바이러스 실행

NAT 네트워크 환경에서 실행 권장

• 바이러스 실행 중 악성코드가 외부로 확산되지 않도록 네트워크 분리 필요
• 악성코드가 내부 IP를 통해 접근할 가능성 대비

실행 절차

1. 윈도우 방화벽 및 백신 비활성화
   • 바이러스 실행을 방해할 수 있는 보안 기능을 일시적으로 비활성화
2. 다운로드 폴더를 검사 제외 폴더로 설정
   • 바이러스 파일이 다운로드 및 실행되는 동안 탐지되지 않도록 설정
3. 악성코드 파일 다운로드
   • Bazaar Abuse.ch 사이트 접속
   • 상단의 Browse 탭에서 .exe 파일 선택 후 다운로드
4. 다운로드 파일 압축 해제
   • 반디집 압축 해제 도구를 사용하여 파일 해제
5. 이더넷 연결 해제
   • 인터넷 연결을 차단하여 악성코드의 외부 통신 방지
6. 바이러스 실행 및 모니터링
   • 다운로드한 파일 실행
   • 아래 도구들을 사용하여 시스템 변화 및 이상 현상 확인:
     • Process Monitor: 실행된 프로세스 및 관련 파일 활동 추적
     • Wireshark: 네트워크 통신 활동 모니터링
     • Autoruns: 자동 실행 항목 변경 확인
     • RegShot: 레지스트리 변화 비교 및 분석

주의: 실험 종료 후 환경 복원을 위해 스냅샷 사용을 권장하며, 악성코드 실행으로 인해 발생한 모든 변경 사항을 복구하거나 시스템을 재설치할 준비가 필요