침해사고분석 실습 2

목표

1. 침해사고 발생 시 휘발성 및 비휘발성 데이터를 수집
2. 수집된 데이터를 분석하여 시스템 상태와 변화 파악
3. NirSoft 도구를 활용한 네트워크 및 프로세스 분석 경험 축적

---

실습 준비

1. 가상 환경 설정
   • 가상 머신 준비: NAT 네트워크 설정된 Windows 가상 머신
   • Snapshot 생성: 복구를 위해 초기 상태 저장
   • 보안 소프트웨어 설정: 백신 및 방화벽 비활성화 또는 예외 처리
2. 도구 준비
   • LiveResponse Collector 다운로드
     • 공식 사이트에서 다운로드 후 압축 해제
     • Windows LiveResponse Collector.exe 관리자 권한으로 실행
   • NirSoft 도구 다운로드
     • NirSoft 웹사이트에서 CurrPorts, Process Explorer 다운로드
     • https://launcher.nirsoft.net/downloads/index.html
     • 압축 해제 후 폴더에 저장

---

실습 절차

1. 시스템 초기 상태 확인

1. LiveResponse Collector 실행
   • 관리자 권한으로 실행
   • 기본 설정으로 데이터 수집 진행
   • 결과 데이터를 지정된 디렉토리에 저장
2. NirSoft 도구 실행
   • CurrPorts: 네트워크 연결 상태 확인
   • Process Explorer: 현재 실행 중인 프로세스 및 메모리 사용량 기록
3. 결과 저장
   • 각 도구의 결과 데이터를 저장하여 시스템 초기 상태 기록

2. 침해사고 시뮬레이션 (악성코드 실행)

1. 악성코드 샘플 준비
   • 테스트용 악성코드 다운로드 (예: bazaar.abuse.ch)
   • 다운로드된 파일을 지정된 폴더에 저장
   • 악성코드를 실행하여 5분간 대기
2. 네트워크 연결 차단
   • 악성코드가 외부로 통신하지 않도록 인터넷 연결 차단

3. 데이터 수집 및 분석

1. LiveResponse Collector 재실행
   • 악성코드 실행 후 데이터를 다시 수집
   • 초기 상태와 비교 가능한 결과 데이터 생성
2. NirSoft 도구 활용
   • CurrPorts: 새로운 네트워크 연결 및 포트 확인
   • Process Explorer: 추가/변경된 프로세스 및 메모리 사용량 분석
3. 분석 작업
   • 휘발성 데이터: 실행된 프로세스와 네트워크 활동 비교
   • 비휘발성 데이터: 파일 시스템 및 레지스트리 변화 확인

4. 결과 정리

1. 휘발성 데이터 분석
   • 악성코드 실행 전/후 프로세스 및 네트워크 연결 변화 비교
   • 추가된 프로세스나 의심스러운 네트워크 활동 기록
2. 비휘발성 데이터 분석
   • 레지스트리 변경 사항 파악 (Run 키 등 확인)
   • 생성된 새로운 파일 및 디렉토리 확인

---

정리 및 복구

1. Snapshot 복구
   • 가상 머신을 초기 상태 Snapshot으로 복구
2. 실습 결과 보고서 작성
   • 수집한 데이터와 분석 내용을 정리하여 문서화
3. 보안 개선 방안 제안
   • 시스템 변화에 기반한 방어 전략 제안

---

주의사항

• 모든 실습은 격리된 가상 환경에서만 진행
• 악성코드 실행 후 반드시 Snapshot으로 복구
• 도구 사용 시 관리자 권한 필요
• 분석 데이터는 법적/윤리적 규정을 준수하여 처리