침해사고 대응 썸네일형 리스트형 APT(Advanced Persistent Threat) incident response with Event Log 우리나라는 한글과 컴퓨터 회사에서 만든 한컴오피스를 공공기관부터 시작 해 일반 사용자들까지 굉장히 많이 쓰고 있어, 공격자들에게 공격 타겟으로 많이 설정되어 공격을 당하곤 한다. 한컴 오피스에서 특히 '한컴오피스 한글'은 많은 해커들에게 공격 타겟이 되곤 하는데, 얼마전부터는 특정 대상을 공격하는데도 '한컴오피스 한글'의 제로데이 취약점이 이용되기도 하였다. 해당 글에서는 윈도우에서 지원하는 로깅인 이벤트 로그에서 APT 공격 또는 악성코드 공격에 해당하는 이벤트 로그를 살펴볼까 한다.본글에서 이루어진 작업들은 모두 Windows 7 32bit Enterprise, 한컴오피스 한글 2010에서 진행되었으면, 공격에 사용 된 샘플은 실제로 배포 되었던 '북한방송 주요논조.hwp' 파일로 진행 하였다. 해당.. 더보기 IOC(Indicator Of Compromise, 침해지표) Mandiant社에서 OpenIOC(Indicator Of Compromise) 프로젝트를 2011년에 시작한 것으로 필자는 알고 있는 반면, 국내에서는 아직 IOC에 대한 글이나 IOC 파일 등이 존재하지 않는 것 같아 IOC에 대해 알아보고 어떤면에서 사용하면 좋은지 생각해보고자 이렇게 글을 쓰게 되었다. 1. IOC란? IOC(Indicator Of Compromise)는 한문장으로 표현하면 다음과 같다. "여러 침해사고의 흔적들을 일정한 포맷으로 정리 해 놓은 문서 또는 파일" 사실 IOC의 개념은 Mandiant社가 처음으로 제안한 것은 아니다. 이런 지침등의 관련 표준안으로는 대표적으로 CSIRTs(Computer Security Incident Response Teams)의 IODEF(The.. 더보기 이전 1 다음
