실제 현장에서 데이터 수집 시 전체 데이터가 아닌 사건과 관련된 데이터만 선별 수집하는 것이 원칙이다. 따라서, 선별 수집한 데이터를 분석하는 경우가 많으며 선별 수집 데이터는 다양한 도구를 활용해 분석할 수 있다. 이 글에서는 선별 수집 데이터를 AXIOM으로 분석한 내용을 공유하고자 한다. 선별 수집 데이터는 AXIOM Process에서 이미지(Image)나 파일

DFIR(Digital Forensics & Incident Response) 컨퍼런스 중 대표적인 컨퍼런스는 "Techno Security & Digital Forensics", "SANS DFIR Summit & Tranning, FIRST Conference가 있다. 이 중 Techno Security & Digital Forensics Conference 가 가장 크게 운영되는 DFIR 컨퍼런스이며, 2021년까지 연 1회로 진행되다가 2022년부터 연 2회(6월, 9월) 진행되고 있다. 지난 9월에 미국 로스앤젤레스에서 진행된 Techno

Sweeper Bot을 이용한 암호화폐 탈취 방법에 대해 살펴본다.

Magnet OUTRIDER란? Magnet Outrider는 PC나 모바일 기기의 스캔으로 특정 정보를 식별하고, 추출해 내부 콘텐츠의 빠른 분류를 목표하는 도구이다. Magnet Outrider는 속도, 간편함을 중시하여 개발되었는데, 사용자가 수집하고자 하는 항목들을 템플릿으로 만들어 추후 다른 기기의 데이터 수집 시에 해당 설정을 그대로 사용할 수 있다. 실행 화면 프로그램을 실행하면 <사진 1>과 같은

AXIOM 에서는 다양한 아티팩트 분석을 지원하지만, 간혹 분석 지원하지 않는 아티팩트가 있다.(ex. 한국에서 제작한 프로그램) 이렇게 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위해 AXIOM 은 Custom Artifact라는 기능을 지원하고 있다. Custom Artifact 란 커스텀 아티팩트는 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위한 기능으로 설정된 XML 파일 또는

IGNITE는 사고 대응 조사를 위한 클라우드 기반의 초기 사례 평가 도구이다. 신속한 원격 스캔과 엔드포인트 분석을 수행하고 사고 범위와 다음 단계를 결정한다. 데이터 유출이나 주요 자산 접근을 확인할 수 있다. 또한, 자산 오용 및 정책 위반 파악하고 악의적인 활동을 한 엔드포인트를 분류할 수 있다. IGNITE는 Chrome, Firefox, Edge에서 지원되고 웹사이트(

마그넷에서 "2023 State of Enterprise DFIR"이라는 이름으로 기업의 DFIR 현황과 관련한 보고서를 공개했다. 해당 보고서는 북미, 유럽, 중동, 아프리카의 기업 DFIR 전문가(500명 이상)를 대상으로 실시한 설문조사 결과를 바탕으로 작성되었다. 조사 대상에서 아시아가 빠져있는 점이 아쉽지만 보고서에서 언급한 DFIR의 흐름이 아시아에서도 유사할 것으로 판단된다. 보고서에서는 크게 3개의 인사이트를

이 글에서는 MS-SQL 로그 및 시스템 로그의 한계에 대응하기 위한 추가적인 로깅을 통한 추적과 침해사고 예방을 위한 몇 가지 보안 설정에 관해 설명한다. 침해사고 대응 및 예방을 위해 각 방안을 비교하여 시스템에 적절한 설정을 적용하는 것을 권고한다. 이 글을 읽기 전 아랫글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석

이 글에서는 CLR Shell 공격에 대한 로그와 아티팩트 분석으로 공격자의 행동과 관련된 정보를 찾아내는 방법에 대해 다룬다. 이 글을 읽기 전 아래 글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석 : 동향 및 공격 방식데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도