Analysis Process
Now and again, someone will ask me, "...how do you do analysis?" or perhaps more specifically, "...how do you use RegRipper?" This is a tou...
windowsir.blogspot.com
- 분석 목표 문서화
- 조사 목표를 명확히 문서화하여 조사의 방향성을 설정
- 목표는 조사 프로세스와 결과 보고서 작성의 기준이 됨
- 목표는 보고서의 실무 요약 부분에 명시하며, 목표와 결과를 1:1로 대응하여 설명
- 데이터 소스 수집
- 전체 이미지 또는 트라이애지 데이터 수집 등 상황에 따라 데이터 수집 방식 결정
- 최소한의 데이터로 최대한의 정보를 추출하는 방식 권장
- 추가 조사 필요 시 추가 데이터 소스 수집을 통해 보완
- 데이터 소스 파싱, 정규화, 데코레이션, 그리고 데이터 강화
- 조사 목표에 부합하는 다수의 데이터 소스를 활용해 타임라인 생성
- 타임라인은 조사 초기 단계부터 시작하여 사건의 전후 맥락을 이해하는 데 도움을 줌
- 관련 피벗 포인트 식별
- 레지스트리와 이벤트 파일에서 관심 항목 추출
- RegRipper와 Events Ripper와 같은 도구 사용하여 암호화된 정보(예: 바이너리, ROT-13, GUID 등)를 사람이 이해하기 쉽게 변환
- TLN 플러그인을 활용해 타임라인에 데이터를 통합하고, 추가적인 정보를 확보하여 피벗 포인트 개발
- 누락된 데이터 확인 및 보충
- 조사 목표에 비추어 누락된 정보가 있는지 평가
- 누락된 데이터가 있으면 다시 수집 단계로 돌아가 추가적으로 필요한 데이터를 확보
- 목표 충족 시 검증 완료
- 조사 목표가 충족되었을 때, 확보한 데이터를 통해 결과 검증
- 보안 운영 센터(SOC) 분석가의 경우 로그와 이벤트를 확인하여 실제 사건이 발생했는지 검증하는 것이 필수
- 단순한 추정이 아닌 객관적 데이터 검증을 통해 사건의 실체 파악
- 새로운 발견 사항의 프로세스 반영
- 조사 중 새롭게 발견된 내용은 자동화 프로세스에 추가하여 업데이트
- 문서화 및 자동화 반영을 통해 반복적으로 동일한 검토 작업을 수행하지 않도록 효율화
- 예: 새로운 이벤트가 발견되면 관련 플러그인과 이벤트맵에 추가하여 후속 조사에서 재활용 가능하도록 반영
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| PureCrypter 로더를 이용한 DarkVision RAT 배포 악성코드 캠페인 (0) | 2024.11.23 |
|---|---|
| 구글의 메모리 안전성 강화 전략 (0) | 2024.11.23 |
| SW 공급망 보안을 위한 ‘시큐어 바이 디자인(Secure by Design)’의 핵심과 발전 방향 (2) | 2024.11.23 |
| 클라우드 시대의 사이버 보안 운영 모델 구축 지침 (0) | 2024.11.23 |
| 안랩, 기업용 V3 제품군 가격 인상…고도화된 보안 서비스 제공 목적 (0) | 2024.11.23 |