haju__log

전원 공급이 끊기거나 시간이 흐름에 따라 저장 공간에서 사라지는 데이터보조기억장치에 해당하는 물리 메모리(RAM)에 로딩되어 있는 데이터초기 분석 수행 ⇒ 시스템 명령어 및 Tool 활용 → USB 장치 등에 수집종류현재 시스템 날짜, 시간현재 실행되고 있는 프로세스 정보현재 시스템에 접속한 사람현재 열려 있는 포트현재 실행되고 있는 프로그램(메모리에 남아 있는) 최근 접속 기록✅ RAM (Random Access Memory)컴퓨터 시스템에서 데이터와 프로그램을 일시적으로 저장하는 휘발성 메모리CPU가 빠르게 접근할 수 있는 저장 장치로서, 컴퓨터의 성능에 중요한 역할을 함.CPU와 프로그램이 직접 접근하는 공간 프로그램을 실행하거나, 파일을 열 때 RAM에 로드돼서 작업이 이루어짐

✅ 실제 관찰된 공격 정보를 바탕으로 전술과 기술을 정리한 지식 베이스(Knowledge Base) ✅ TTPs Tactics(전술) ; 실제 공격에서 관찰되는 위협 그룹의 행위 목적Techniques(기술) ; 전술 목표를 달성하기 위해 사용하는 기술 및 기법Procedures(절차) ; 기술의 실제 수행 절차 및 방법 ✅ 사이트https://attack.mitre.org/ MITRE ATT&CK®MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation..

✅ IoC ; Indicator Of Compromise ✅ (침해사고 원인분석 과정에서) 네트워크나 시스템이 침해되거나 공격받았다는 것을 암시하는 단서나 증거 ✅ 유형 : IP 주소도메인 이름URL이메일 주소네트워크 트래픽 패턴악의적인 스크립트 등의 파일경로 및 해시 파일

✅ 디지털 증거는 보관증거와 생성증거로 구분함 보관증거 : 사람이 직접 작성한 데이터를 의미, 사용자의 주관적인 견해가 들어간 데이터 생성증거 : 미리 정해진 시스템의 동작이나 알고리즘에 의해 생성, 디지털 데이터 처리 과정에서 자동으로 생성된 증거 레지스트리(Registry), 프리패치/슈퍼패치(Prefetch/Superfetch), 이벤트로그(Eventlog), 링크파일(LNK File) 등이 있으며 OS에 의해 자동적으로 생성됨 ✅ 즉, 보관증거 : 디지털 기기에 저장된 증거 // 생성증거 : 디지털 기기에 의해 자동으로 생성된 증거 ㄴ 아티팩트는 생성 증거 (== 사용흔적이라고 생각하면 편함)