네트워크 침해사고 분석

1장. 이 책의 개요
네트워크 기반의 침해사고 분석 소개

2장. 공격단계 및 증거자료
1단계: 사전침투 혹은 정탐 단계
2단계: 초기침투 혹은 침입 단계
-- 과정 1: 사전침투 과정, 액티브 정탐
-- 과정 2: 시스템 공격
-- 과정 3, 4: 접근경로 유지 및 공격목표 달성
참고자료

3장. 침해사고 대응
개요
1부: 방법론
신뢰할 수 있는 분석도구
상업용 분석도구
-- US-LATT 환경설정
-- 증적수집 장치
2부: 시스템 메모리 수집
개요
수집
Mdd_1.3.exe
사용법
Win32dd
-- Win32dd 실행구문
FTK 이미저(FTK Imager)
위넨(Winen)
레드라인(Redline)
메모라이즈(Memoryze)
결론
참고자료

4장. 휘발성 데이터 분석
개요
휘발성 데이터란 무엇인가?
비휘발성 데이터란 무엇인가?
1부: 수집도구
상업용 분석도구
가이던스 소프트웨어의 인케이스 포터블(EnCase portable)
웨스톤 테크놀로지의 US-LATT
2부: 시스템 메모리 분석
-- 개요
메모리 분석
-- 데이터 카빙 도구와 기술
-- 디스크 디거(Disk Digger)
-- NTFS와 FAT 파일 시스템 분석을 위한 GetDataBack
-- 맨디언트의 레드라인(Redline)
-- HBGary 리스폰더 커뮤니티 에디션(Responder Community Edition)
참고자료

5장. 네트워크 분석
개요
방법론
네트워크 트래픽
스노트(Snort)
패킷 분석도구
와이어샤크(Wireshark)
와이어샤크를 이용한 트래픽 데이터 분석
넷위트니스 인베스티게이터(Netwitness Investigator)
넷위트니스를 이용한 데이터 분석
-- 세션묶음 서머리(Collection Summary)
-- 필터링
-- 룰셋(Rules)
-- 정밀분석(Drilling)
-- 사용자정의 분석(Custom Drill)
-- 인텔리센스
-- 리포트 아이콘
-- 옵션
-- 리포트 표시값(Report Value)
-- 세션 리스트
-- 브레드크럼(Breadcrumbs)
-- 키워드 검색
-- 검색기능 사용방법
-- 간단 검색 윈도우
-- 고급 검색 윈도우
-- 검색 환경변수 설정(Search Preferences)
-- 간단 검색
-- 고급 검색
-- 세션 내보내기
로그 분석
증적생성 장치
네트워크 기반의 침해사고 대응장치
인케이스 사이버시큐리티(EnCase CyberSecurity) [1]
참고자료

6장. 호스트 분석
개요
방법론
호스트 기반 분석
-- 해시값 분석
-- 악성코드 탐지
-- 시그니처 분석
-- 얼터네이트 데이터 스트림(Alternate Data Streams)
-- AutoRun 위치
-- 로그파일
-- 윈도우 이벤트 로그
-- 스케줄 태스크 로그
-- 안티바이러스 로그
-- $MFT
-- 삭제된 파일
-- 공격자 생성 디렉터리
-- 프리페치 디렉터리와 파일(Prefetch Files)
참고자료

7장. 악성코드 분석
개요
악성코드 분석용 샌드박스 구성
-- 가상머신 다운로드 및 환경설정
-- 가상머신 2차 감염예방을 위한 환경설정
-- 분석용 애플리케이션 설치 및 환경설정
-- 시스템 모니터링
-- 코드 분석 애플리케이션
행위분석 절차
-- 해시값 및 외부정보 비교를 통한 악성코드 확인
-- 해시값 생성
-- 바이러스 토탈 혹은 오펜시브 컴퓨팅에 바이러스 파일 전송
제2단계: 모니터링 애플리케이션 구동
-- 프로세스 익스플로러 상세기능
-- 악성코드 샘플 동적 분석
보고서 작성
-- 분석 소프트웨어(샌드박스, 운영체제, 애플리케이션 등 포함)
-- 수집된 파일(해시값 제공)
결론
참고자료

8장. 분석 보고서 작성
개요
보고서의 내용
보고서 머리말
-- 분석 요구사항
-- 분석 진행상황(종료/잠정중단)
-- 사고 요약
-- 소프트웨어
-- 용어 설명
-- 침해사고 상세분석
-- 침해복구 및 향후 발전방향
-- 첨부문서