침사대

2주차

 

[최근 사이버 위협 동향 및 현 정부의 사이버보안 정책]

 

1. 최근 사이버위협 동향

· 우리나라의 사이버안보 환경

cf. 국가사이버안보센터 → 공공분야 사이버위기 경보 '주의' 발령

 

· 사이버보안 침해사고

22년 한국인터넷진흥원에 접수된 침해사고 신고를 분석해보면 22년 11월까지 총 1,045건으로 전년 대비 약 1.6배 증가하여 사이버 위협은 지속적으로 증가

 

· 북한의 지속적인 정부기관 대상 해킹 공격

현 정부에서 해킹메일 및 다양한 경유지를 통한 해킹시도 급증

 

· 사이버 위협은 개인·기업을 넘어 사회 혼란과 국가 안보에 심각한 영향

해커 개인의 단독 공격이 아닌 국가 배후 조직의 해킹 공격으로 사이버안보 위협 고조

- 국제 해킹 조직의 민간 기업 대상 사이버 공격이 빈발 및 러-우크라 전쟁 사례로 국가간 사이버전쟁이 현실화

- 국방, 안보, 방산 영역에서의 공격뿐 아니라 미사일 발사 및 방어 기술에 활용되는 항공우주산업과 이동통신 산업 등 SoC를 대상으로 해킹 공격이 증가 전망 (이스트시큐리티, 2023)

* (22.2~4월) 남미 해커조직 랩서스는 삼성전자, 엘지전자, MS 등 해킹

*(23.2월) 북한 해커조직 라자루스 그룹의 악성코드가 국내 방산·인공위성·SW기업 및 언론사 등 다수 업체에서 발견 등

- 서비스형 랜섬웨어가 증가하는 등 해커들에게 고수익을 창출할 수 있는 수단으로 활용되어 해킹조직의 분업화·전문화 가속화

* 서비스형 랜섬웨어(RaaS: Ransomware as a Service)는 제작자에게 비용만 지급하면 전문지식이 없는 사람도 랜섬웨어 공격을 시도할 수 있도록 하는 해킹 도구

- 해킹 조직의 변화, 서비스형 랜섬웨어 등 최근 상황은 공격상황 파악, 주체 특정 등이 어려워 사이버공격이 빈번한 우리 안보에 심각한 위협

 

· 최근 국가 대상 사이버공격 사례

(생략/ppt 참고)

 

· 디지털 대전환으로 사이버공간이 확장되어 국가 시설, 산업 등 공격대상 확대

4차 산업혁명, 디지털 대전환 등 초연결 사회 진입하면서 전통산업의 경계가 파괴되고 기존 사이버공간의 개념이 다양한 산업으로 확대·팽창

- 현실과 사이버공간의 경계가 사라진 극도의 연결성을 악용한 사이버공격의 파급력이 국민 안전과 국가안보 위협 수준으로 팽창

* 병원 시스템 마비로 환자가 사망하는 등 사이버공격은 생명을 표적으로 삼는 수준까지 발전

* 디지털 기술 진전과 융합에 따라 AI·IoT, 자율주행차, 드론 등 모든 사물과 환경이 공격 대상

- 국가 핵심 시설·인프라 사이버 공격 발생 시 피해 대상이 개인에서 국가 단위로 격상되고 사회적 혼란을 야

 

· 최신 ChatGPT 등 AI를 이용한 공격은 탐지·방어를 어렵게 할 뿐 아니라, 서비스 형태로 제공하는 해킹 산업도 출현

1세대 사이버공격	2세대 사이버공격	3세대 사이버공격	4세대 사이버공격	5세대 사이버공격
PC 보급의 대중화 (1980년대 후반)	인터넷 활용 확산 (1990년대 중반)	웹기반 비즈니스 활성화 (2000년대 초반)	IoT, 클라우드, 모바일 (2010년 전후)	초연결 및 지능정보기술 (2020년 전후)
PC 바이러스 출현	DDoS 등 네트워크 공격	웹, 이메일 등 취약점 공격	APT 공격 (악성코드)	테라 및 AI 신기술 공격
안티 바이러스 (PC 보안)	네트워크 보안 (방화벽 등)	전용 어플리케이션 보안	샌드박스, APT 솔루션	AI기반 보안 기술

 

- 생성(Generative) AI 서비스를 통해 악성코드 제작이 쉽게 가능해짐에 따라 비전문가에 의한 해킹 증가 및 AI 활용 공격이 본격화 전망

- 생성 AI 등을 이용해 공격의 자동화, 고속화 및 대량화가 가능해져 기존의 수동적 공격 대응 방식으로는 방어에 한계

- 서비스형 랜섬웨어 등을 제작하여 범죄조직에 공급하고 수익을 공유하는 형태로 진화하여 사이버공격은 점차 산업화 ·분업화되는 양상 (다크웹 거래)

 

· CVE 통계 기준, 21년 대비 22년 취약점 발생 건수는 25% 증가

CVE Details 사이트*를 통해 확인한 연도별 취약점 건수 (생략/ppt 참고) * CVE: Common Vulnerabilities and Exposure의 약자로 공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 고유번호

 

· 위협 기반 방어(Threat-based Defense) 대응

- 공격표면 확대, 공격기법의 고도화 ·지능화, 암호화 트래픽(예: HTTPS 등)의 일반화로 경계선방어 수단(예: IDS/IPS, FW 등)만으로는 공격탐지 불가

- 보호대상(자산, 정보 등) 자체에 대한 식별, 보호대상에 대한 위협(공격표면, 공격벡터, 공격그룹, 사례 등) 식별, 관련된 위협에 관한 정보의 수집·융합·분석·공유를 통한 위협기반 방어 전략으로 전환 필요

 

* 위협헌팅(Threat Hunting)

시스템 이벤트 수집 → 시스템 이벤트 분석 → 가설(공격 시나리오) 검증

 

* 위험정보(CTI)

- 취약점

- TTP(공격의 전술, 기법, 절차)

- 해킹조직(특성, 목적, 동향 등)- 공격사례(공공/산업 분야별)- 공격의 피해 수준- 대응수단

 

 

2. 현 정부의 사이버보안 정책

· 대통령의 120대 국정과제 5번 글로벌 중추국가

cf. 자유민주주의 가치를 지키고, 지구촌 번영에 기여하겠습니다. → 국가 사이버안보 대응역량 강화 (현 정권의 사이버안보 과제목표 확인 가능)

 

· 현 정부의 사이버안보 정책 언론 기사 (생략/ppt 참고)

 

· 현 대통령의 주요 발언 키워드

- 북한, 가상자산, 자금줄 동결

- 미사일 개발, 응징보복

- 선제, 능동, 적극

- 협력, 공조, 합동

 

 

3. 사이버보안 위협 대응 방안

· 지능형지속위협(APT, Advanced Persistent Threat)과 같이 보안기능을 우회하고 지속적 방어자의 기술적 수준과 대응 역량을 판단한 후 공격목표를 달성하는 공격기술에 대응하기 위해, 선제적으로 공격 인프라, 나아가 공격조직(공격자)의 활동을 파악하고 추적하며 관리하는 적극적 방어 노력 필요

 

· 또한, 인텔리전스 기반의 최신 공격기술을 기반으로 방어역량을 강화하는 침투테스트(Penetration Test), 사이버공격·방어훈련, BAS(Breach and Attack Simulation) 등을 통해 선제적으로 공격표면(Attack Surface)을 파악·관리 기술 필요

 

· 선제적 방어(Proactive Defense) 대응

미 연방 사이버보안 R&D 전략 계획: 억제 → 보호 → 감지 → 대응

 

* RMF(Risk Management Framework) 기반 보안관리: 억지(deter), 위험(risk), 위협(threat), 방어(defense)

 

· 선제적 방어(Proactive Defense) 대응을 위한 기술 R&D

(생략/ppt 참고)

 

 

4. 결론

· 국가간 사이버위협 진화 속도에 맞게 사이버안보 총역량 마련 긴요

- 러시아·우크라이나 전쟁 종식까지 국가간 지속적인 사이버공격 급증 예상

- 이스라엘·하마스 확전 우려에 따른 주변국 등 사이버 위협(Threat) 예상

- 현 정부는 전정부와는 다른 강경책으로 선제타격 혹은 응징보복 정책이 예상 됨

- 북한의 사이버공격과 가상화폐와 관련된 랜섬웨어 등 다양한 공격이 지속 발생할 것으로 우려

 

 

[사이버안보업무규정 개정]

 

'사이버안보업무규정 일부개정령안' 법제처 통과 ... 3월 5일자로 공포

북한 포함 국가배후 해킹조직 대상으로 추적이나 무력화 등 선조치 명시

국내 각급기관 대상 사이버 공격 및 위협 시 현장 확인 및 자료 조치 의무화

 

'사이버안보업무규정'이란 국가정보원의 직무 중 사이버안보 관련 정보의 수집과 작성, 배포 및 사이버공격·위협에 대한 예방·대응 업무의 수행에 필요한 사항을 모은 것으로 대통령령으로 정하고 있다.

 

 

[챗GPT 등 생성형 AI 활용 보안 가이드라인]

 

· 생성형 인공지능 기술: 인공지능 기술의 한 종류로서 이미지, 비디오, 오디오, 텍스트 등을 포함한 대량의 데이터를 학습하여 사람과 유사한 방식으로 문맥과 의미를 이해하고 새로운 데이터를 자동으로 생성해 주는 기술

 

· 대규모 언어모델(Large Language Models; LLMs): 일반적으로 수백억 개 이상의 파라미터를 포함하는 인공지능 모델을 의미하며 복잡한 언어 패턴과 의미를 학습하고 다양한 추론 작업에 대해 우수한 성능을 보유하고 있

 

· GPT(Generative Pre-trained Transformer): 대규모 언어모델로서 도서, 웹 문서 등에서 수집한 방대한 텍스트 데이터베이스를 기반으로 학습하여 언어의 통계적 패턴을 모방하고, 이를 토대로 설득력 있는 문장을 생성하는 기술

 

· 챗GPT에서 제공하는 서드 파티 플러그인 일부

기관	설명
익스피디아(Expedia)	호텔·항공권 등 여행에 관한 온라인 예약 처리
피스컬노트(FiscalNote)	법률, 정치, 규제 데이터 및 정보에 관한 데이터 세트 제공
인스타카트(Instacart)	지역 식료품점에서 상품 주문 및 배달
카약(KAYAK)	항공편, 숙박, 렌터카 검색 및 여행지 추천
오픈테이블(OpenTable)	레스토랑 검색 및 예약
쇼피파이(Shopify)	온라인 쇼핑몰과 브랜드의 상품 검색 및 구매
슬랙(Slack)	클라우드 컴퓨팅 기반 팀 협업 툴
울프람(Wolfram)	간단한 수학 연산 수행 및 그래픽 결과 시뮬레이팅
자피어(Zapier)	웹 애플리케이션과 함께 자동화 워크플로우 제

 

 

· 챗GPT 등 생성형 AI 활용 보안수칙

- 민감한 정보(공개 정보, 개인정보 등) 입력 금지

- 생성물에 대한 정확성·윤리성·적합성 등 재검증

- 가짜뉴스 유포·불법물 제작·해킹 등 범죄에 악용 금지

- 생성물 활용 시 지적 재산권·저작권 등 법률 침해·위반 여부 확인

- 악의적으로 거짓 정보를 입력·학습 유도하는 등 비윤리적 활용 금지

- 연계·확장프로그램 사용 시 보안 취약여부 등 안전성 확인 

- 로그인 게정에 대한 보안설정 강화 및 보안관리 철저(다중 인증 설정 등)

 

 

 

3주차

 

[디지털 포렌식(과학수사)의 세계]

 

· 포렌식 사건(OJ 심슨 사건)

1970년대 미 프로풋볼 스타였던 OJ 심슨이 1994년 전처 니콜 브라운과 그의 친구 론골드먼을 살해한 혐의로 기소된 사건이다. 당시 유력 변호사들을 대거 고용한 OJ 심슨은 인종차별을 끌어들여 372일 동안의 형사재판에서 무죄로 풀려났다. 하지만 2007년 또다시 강도와 납치 혐의로 유죄 선고를 받고 33년형을 선고받았다. 심슨 사건은 미국 사회는 물론 전 세계를 떠들썩하게 했으며, 미국 재판 제도 전반에 대한 커다란 논쟁을 불러일으켰다.

 

 

[레지스트리 포렌식과 보안]

 

1. 레지스트리 소개

· 윈도우 레지스트리(Windows Registry)

- 마이크로소프트 윈도우 운영체제에서 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위해 고안한 계층형 데이터베이스

- 부팅 과정부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 모든 활동에 관여함

 

· 레지스트리 포렌식 분석의 필요성

- 윈도우 시스템 분석의 필수 요소

- 사용자/시스템/저장매체 사용 흔적 분석 → 추가적인 포렌식 분석 대상 선별

 

· 레지스트리 분석의 포렌식 관점

- 온라인 레지스트리 분석

: 활성시스템에서의 레지스트리 분석

: RegEdit(regedit.exe), RegEdt32(regedt32.exe)를 통해 확인 가능

 

- 오프라인 레지스트리 분석

: 비활성시스템(포렌식 복제 드라이브나 이미지)에서의 레지스트리 분석

: 레지스트리 하이브(Hive) 파일의 수집이 필요

: 운영체제 버전별 하이브 파일의 정확한 위치를 사전에 숙지

: 포렌식 분석은 대부분 오프라인 레지스트리 분석을 대상으로

 

· 하이브(Hive) 파일이란?

- 하이브 파일

: 레지스트리 정보를 저장하고 있는 물리적인 파일

: 키(Key) 값들이 논리적인 구조로 저장

: 활성시스템의 커널에서 하이브 파일을 관리  * 일반적인 방법으로는 접근 불가

 

- 하이브 셋(Hive Set): 활성시스템의 레지스트리를 구성하는 하이브 파일 목록: SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER_dAT, Usrclass.dat, BCD, COMPONENTS 

 

· 레지스트리 데이터 형식

Key → Value | Data Type | Data

 

 

· 레지스트리 루트키

루트키	약어	설명
HKEY_CLASSES_ROOT	HKCR	· 파일 연관성과 COM(Component Object Model) 객체 등록 정보 · HKLM\SOFTWARE\Classes와 HKU\<SID>\Classes 모음
HKEY_CURRENT_USER	HKCU	· 현재 시스템에 로그인된 사용자의 사용자 프로파일 정보 · HKU 아래 사용자 프로파일 중 현재 로그인한 사용자의 하위키
HKEY_LOCAL_MACHINE	HKLM	· 시스템의 하드웨어, 소프트웨어 설정 및 다양한 환경 정보 · 시스템에 존재하는 하이브 파일과 메모리 하이브 모음
HKEY_USERS	HKU	· 시스템의 모든 사용자와 그룹에 관한 프로파일 정보 · 사용자 루트 폴더에 존재하는 NTUSER.DAT 파일의 내용
HKEY_CURRENT_CONFIG	HKCC	· 시스템이 시작할 때 사용되는 하드웨어 프로파일 정보 · HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current의 내용
HKEY_PERFORMANCE_DATA	HKPD	· 성능 정보를 저장 · 성능 카운트 (레지스트리 편집기를 통해 접근 불가, 레지스트리 함수로만 접근)

 

 

· HKEY_LOCAL_MACHINE (HKLM)

- 하위키 구성

* 명령어: echo %systemroot%

 

- 하위키 내용

BCD00000000	Boot Configuration Data 관리 (XP의 Boot.ini 대체)
COMPONENTS	설치된 Components와 관련된 정보 관리
HARDWARE	시스템 하드웨어 디스크립션과 모든 하드웨어의 장치 드라이버 매핑 정보 (Volatile hive)
SAM	로컬 계정 정보와 그룹 정보 (시스템 계정만 접근 가능)
SECURITY	시스템 보안 정책과 권한 할당 정보 (시스템 계정만 접근 가능)
SOFTWARE	시스템 부팅에 필요없는 시스템 전역 구성 정보 (소프트웨어 정보)
SYSTEM	시스템 부팅에 필요한 시스템 전역 구성 정보 * 부팅 시 HKLM\SYSTEM 하이브는 물리 메모리로 로드되기 때문에 하이브 파일 크기에 제한

 

 

- HKLM\SYSTEM\CurrentControlSet

: 디바이스 드라이버와 서비스 등의 시스템 환경 설정 정보

: ControlSet00N에 대한 링크

: Select 키의 Current 값에 따라 현재 사용 중인 ControlSet 확인

 

 

2. 레지스트리 획득

· 온라인 하이브 파일 획득

- 일반적으로 레지스트리 파일은 커널에서 열고 있기 때문에 획득 불가능

- 직접 파일시스템을 해석하거나 DeviceIoControl() API를 이용하여 획득

- 하이브 목록 확인 → HKLM\SYSTEM\CurrentControlSet\Control\hivelist

 

· 오프라인 하이브 파일 획득

- 복제한 저장매체 혹은 이미징 데이터에서 하이브 파일 추출

- 각 운영체제 버전별 하이브 파일 위치 확인 필요 → %SystemRoot\System32\Config

- %UserProfile% 목록 확인 → HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

 

· 하이브 레지스트리 경로

(생략/ppt p.28 참고)

 

· 백업되거나 로그로 생성된 하이브 파일

- 운영체제에 의해 하이브 파일은 백업되거나 관련 로그가 생성됨

- 백업 하이브: %SystemRoot%\System32\config\RegBack

- 로그 하이브: %SystemRoot%\System32\config (기본/백업 하이브 로그 (.LOG, .LOG1, .LOG2))

- 로그 파일도 동일한 하이브 구조를 가짐

- 백업이나 로그 하이브 파일은 기존 파이브 파일의 일부 정보만 저장

 

 

3. 레지스트리 내부

· 하이브 블록 (Hive Block)

- 파일시스템 클러스터와 같이 하이브에서 사용하는 논리적인 할당 단위

- 블록 크기: 4,096 바이트

- 새로운 데이터가 하이브에 추가되면 항상 블록 단위로 증가

- 하이브의 첫번째 블록은 베이스 블록

: 시그니처("regf")

: 갱신 순서 번호

: 마지막 수정 시간

: 레지스트리 복원/복구에 관한 정보

: 하이브 포맷 버전 번호

: 체크섬

: 파일명

 

· 하이브 빈 (Hive Bin)

- 레지스트리의 논리적인 크기는 블록 단위로 증가

- 블록 내부적으로 데이터를 저장하기 위한 4,096 바이트의 구조

- 레지스트리 로드시 하이브 빈 단위를 기준으로 로드

- 모든 하이브 빈은 "hbin"이라는 시그니처 값으로 시작

 

· 하이브 구조

(생략/ppt p.37 참고)

- 블록 크기

- 하이브 헤더

- 하이브 빈

- 쉘

 

 

4. 레지스트리 복구

(생략/ppt p.55 참고)

 

 

5. 레지스트리 분석

· 레지스트리 분석의 디지털 포렌식적 의미

- 윈도우 설치 정보와 계정 정보 등 확인 가능

- 윈도우 부팅 시 자동 실행되는 응용프로그램 목록 확인 가능 → 악성 코드 분석

- 최근 사용한 파일, 실행 프로그램 등의 사용자 활동 내역 확인 가능

- 응용프로그램 설치 정보와 사용 내역 등 확인 가능

- 시스템에 사용한 하드웨어 정보 확인 가능

- 추가적인 포렌식 분석 대상 선별 가능

→ 윈도우 포렌식 분석의 필수 요소

 

· 기본 시스템 정보

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

* 활성정보 수집 시 systeminfo 명령 사용: C:\> systeminfo

- ProductName: 운영체제 이름

- Owner: 사용자 이름

- Organization: 조직 이름

- ProductID: 운영체제 식별자

- BuildLab(Ex): 운영체제 세부 버전

- InstallDate: 운영체제 설치 날짜 (유닉스 시간 형식)

- SystemRoot: 운영체제 설치 루트 폴더

 

· 컴퓨터 이름

HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName

* Computername: 시스템 등록 정보에 등록된 컴퓨터 이름

 

· 시스템 마지막 종료 시각

HKLM\SYSTEM\ControlSet00X\Control\Windows

* ShutdownTime: 마지막 종료 시각 저장

 

· 표준 시간대

HKLM\SYSTEM\ControlSet00X\Control\TimeZoneInformation

- UTC/GMT 표준 시간대

- 썸머 타임 관련 정보

 

· 날짜 변경 흔적 (2000/XP/Vista)

HKU\(USER)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\UserAssist\

(75048700-EF1F-11D0-9888-006097DEACF9)\Count

* 날짜 및 시간 등록 정보 대화상자가 활성화된 횟수

 

· 윈도우 검색 정보: 2000/XP 검색어 목록

HKU\(USER)\SOFTWARE\Microsoft\Search Assistant\ACMru\####

* 윈도우 2000/XP 탐색기에서 검색을 사용할 경우 검색어 목록

 

- 인터넷 검색

HKU\(USER)\SOFTWARE\Microsoft\Search Assistant\ACMru\#5001

 

- 모든 파일 및 폴더 검색

HKU\(USER)\SOFTWARE\Microsoft\Search Assistant\ACMru\5603

* 번호가 낮을수록 최근에 검색한 검색어

 

- 파일에 들어있는 단어나 문장/그림, 음악 또는 비디오 검색

HKU\(USER)\SOFTWARE\Microsoft\Search Assistant\ACMru\5604

 

- 프린터, 컴퓨터 또는 사람/네트워크에 있는 컴퓨터/컴퓨터 찾기 검색

HKU\(USER)\SOFTWARE\Microsoft\Search Assistant\ACMru\5647

 

· 윈도우 검색 정보: 7 검색어 목록

HKU\(USER)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

* 윈도우 7 탐색기에서 검색을 사용할 경우 검색어 목록

* 참고로 Vista의 경우 검색어 목록을 레지스트리에 저장하지 않음

 

· USB 장치 연결 정보

- USB 저장매체 인식 절차

1. USB 저장매체가 연결되면 버스 드라이버는 PnP 관리자에게 장치의 고유한 식별번호(device descriptor)를 사용하여 연결 알림

* device descriptor: 제조사, 일련번호, 드라이버 정보 등을 포함

2. PnP 관리자는 받은 정보를 기반으로 Device Class ID를 설정하고 적절한 드라이버 검색

3. 드라이버가 없을 경우 사용자 모드의 PnP 관리자는 해당 장치의 펌웨어로부터 드라이버를 전달받아 로드하고 레지스트리에 기록

- HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier}

- HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID}

 

4. 장치 드라이버 설치과정은 로그 파일에 저장

 

* 결과적으로 로그 파일(setupapi.log) 및 레지스트리를 통해 USB 장치의 흔적 파악 가능

 

· 레지스트리 키 마지막 수정 시간 정보 확인시 주의사항

- 각 레지스트리 키에는 해당 키의 마지막 수정 시간이 저장

- 마지막 수정 시간 정보를 활용하여 USB의 다양한 흔적 파악 가능

- 단, Enum\USB, Enum\USBSTORE 하위키의 시간은 고려되지 않아야 함

- 보안 정책에 의해 (윈도우 Vista/7) PnP 관리자가 하위키 보안 토큰 설정을 위해 수시로 접근

* RegSetKeySecurity API 호출 → 마지막 수정 시간 변경

 

· 저장매체 정보

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR

- Device Class ID 형식을 통해 제조사, 제품명, 버전 정보 확인

 

· 외부 시스템 연결 정보: 원격 데스크탑 연결 정보 (RDP)

HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default

* MRU#: 숫자가 적을수록 최근에 수행한 원격 데스크탑 연결 IP

 

· 외부 시스템 연결 정보: 네트워크 드라이브 연결

HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Map Network Drive MRU

* MRUList: 네트워크 드라이브 연결 순서 확인

 

 

6. 레지스트리 도구

· Process Monitor: 레지스트리 실시간 모니터링 도구

 

· Regshot: 레지스트리 스냅샷을 통해 두 시점간의 레지스트리 비교

 

· InCtrl5: 레지스트리, 파일 스냅샷을 통해 두 시점간의 레지스트리, 파일 비교

 

· RegRipper: 펄(Perl) 기반의 레지스트리 파일(하이브) 분석 도구

 

· REGA: MFC 기반의 GUI 레지스트리 분석 도구

 

 

7. 레지스트리 분석 예제

 

 

8. 레지스트리 보안

· 악성코드: 자동 시작 목록

(* 약 130여개의 키가 확인 됨, Autoruns by Sysinternals.com, Microsoft)

HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKU\{USER}\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\SYSTEM\ControlSet00X\Control\Terminal Server\Wds\rdpwd\StartupPrograms

 

 

 

4주차

[네트워크 TTL 변조를 통한 DOS(서비스거부공격) 취약점 실습]

 

· 네트워크 TTL

네트워크 패킷 전송 시 여러가지의 이유로 지정된 수신지에 도달하지 않았을 때 라우터의 라우팅 테이블은 값이 정확하지 않기 때문에 패킷을 끊임없이 순환(루핑)하게 만들어 네트워크의 부하를 방지하기 위해 일정한 시간이 지나면 그 패킷을 버리고 재전송할 것인지 결정하도록 발신인에게 알리기 위한 해결책

 

* 운영체제에는 기본으로 지정된 TTL 값이 있는데 라우터를 거쳐갈 때마다 홉을 더하고 가는 경로에서 TTL은 1씩 감소함

* 각 라우터는 TTL 필드에서 적어도 하나의 숫자를 빼도록 되어있고 계산은 패킷이 버려지기 전에 혀용되는 라우터 홉수를 의미

Window 128

LINUX 64

CISCO 255

 

· Linux system TTL 값 변조

- ech "5" > ip_default_ttl로 강제로 값을 삽입

 

· 

 

6주차

 

[오픈소스 툴을 이용한 디지털 포렌식(침해사고) 분석기법]

 

· SYSCHECK 2012(GUI버전)

- SysChecker

분석관이 점검하고자 하는 PC의 해당 항목별 정보를 분석하여 수집함. 빠르고 신속한 정보수집을 위해 분석방식을 고속분석과 정밀분석 2가지를 분석관이 선택할 수 있음. 정보수집이 끝나면 결과를 파일로 저장하여 결과압축파일을 같은 경로에 생성함.

 

- SysCheckViewer

SysChecker와 동일한 정보수집기능이 포함되어 있음.

 

· 분석방식

- 고속분석

인터넷 접속 정보의 Temporary, Temporary(Network), Cache 정보를 제외하여 분석시간 단축

 

- 정밀분석

모든 항목의 정보를 수집

 

- 분석시작

분석관이 선택한 분석방식에 따라 분석 진행. 우측의 카운트는 (분석된 index.dat파일의 수/분석할 index.dat 파일의 총 개수)를 나타냄

 

· 수집모듈

- System 통합정보

사용자 System의 통합정보가 표시. 분석관의 점검시간과 사용자가 마지막으로 시스템을 부팅한 시간을 파란색으로 볼 수 있도록 되어있음

 

- System32 파일정보

%SYSTEMROOT% system32 폴더안의 주요 실행 파일들의 MD5, 생성일자, 수정일자, 접근날짜의 정보를 볼 수 있음

 

- Windows 파일정보

%WINDIR% 폴더 안의 dll파일과 exe파일들의 MD5, 생성일자, 수정일자, 접근날짜의 정보를 볼 수 있음

 

- Temp 파일정보

해당경로(%USERPROFILE%\Local Settings\Temp)의 파일들(dll, exe)을 분석하여 수집

 

- Common 파일정보

해당경로(%COMMONPROGRAMFILES%)의 파일들(dll, exe)을 수집하여 분

 

- Common(System) 파일정보

해당경로(%COMMONPROGRAMFILES%System)의 파일들(dll, exe)을 분석하여 수

 

- DNS 쿼리정보

Ipconfig /displaydns 정보를 볼 수 있음. 도메인이 ".cn"인 중국 도메인은 붉은색으로 나타남. 해당정보를 더블클릭하면 레코드정보와 동일한 TCP 정보화면으로 이동

 

- DNS 설정파일정보

C:\Windows\System32\drivers\etc\hosts 파일의 변조여부를 확인

 

- Network 정보

사용자 컴퓨터의 기본적인 네트워크 정보를 볼 수 있음

 

- TCP 정보

프로세스가 점검 당시 이용했던 프로토콜이나 local/remote의 주소, 사용하는 Port와 그 상태를 표시함. 통신상태를 표시하는 것 외에 해당 정보를 더블 클릭하면 해당 프로세스의 상세정보화면으로 이동. 만약 상태가 SYN_SENT, FIN_WAIT_1, FIN_WAIT_2이라면 빨간색으로 처리됨

 

- ARP 정보

Remote Mac/IP Address, Type을 볼 수 있음

 

- DLL 정보

점검 PC의 모든 프로세스 목록(Hidden 프로세스 포함)에서 원하는 프로세스를 클릭하면 그에 해당하는 DLL 파일정보(Name, BaseAddress, Size, Version, Usage, path, FileDate)를 볼 수 있음

 

* "Svchost.exe"는 파란색, DLL 파일 중 버전이 "1.00."으로 시작되는 파일은 빨간색, Hidden DLL 파일들은 녹색으로 보임. 그리고 DLL 파일을 더블 클릭하면 System32 폴더의 DLL 정보와 연동하여 해쉬값(MD5, Sha256)을 비교하여 동일하면 System32(dll) 정보로 화면 이동함.

 

- Handle 정보

DLL 정보와 동일한 형식으로 해당 프로세스의 Handle 정보를 볼 수 있

 

- History 정보

정밀분석 시 볼 수 있는 정보로 인터넷 History 정보가 저장되는 Index.dat 파일을 분석하여 사용자의 접속시간 및 URL 정보를 확인할 수 있음

 

- 공유폴더정보

사용자가 설정한 공유폴더 이름 및 경로를 확인할 수 있음

 

- 최근 실행파일 분석정보

사용자가 사용했던 프로그램의 최종 실행시간, 프로그램명, 실행횟수 등을 확인할 수 있음

 

- USB 접근정보

점검 PC의 해당 사용자 계정별로 사용했던 외장형 저장장치들의 외장형 저장장치명, 제조사, 시간정보 등을 확인할 수 있

 

- Recycle 파일정보

해당 계정의 휴지통에 존재하는 파일의 이름, 삭제시간, 존재했던 경로 등을 확인할 수 있음

 

- 서비스현황정보

점검 당시 PC에서 동작하고 있던 서비스들이 상세정보를 확인할 수 있

 

 

7주차

MITRE ATLAS, 챗GPT 가이드를 통해 본 인공지능 기반의 침해사고 대응기술

 

1. 인공지능은 어떤 존재일까요

2. 그리고 어떻게 사용해야 할까요

3. 그럼 이대로 사용해도 될까요

4. MITRE ATLAS

5. 챗GPT를 통해 알아본 위협 가이드