(121202) #fitalk trends in d forensics (nov, 2012)
TRANSCRIPT
F-INSIGHT Trend Talk
Trends in dForensics, Nov/2012
proneer
http://forensic-proof.com
Kim Jinkook
forensicinsight.org Page 2 / 23
Trends in dForensics, Nov/2012
ํฌ๋ ์ ์ค๋น๋(Forensic Readiness)
โข 2009๋ , ์๊ตญ์์ ์ ๋ํ
โข ์ด์
์์ฐ์ ์ฒด๊ณ์ ์ผ๋ก ๊ด๋ฆฌํ๊ณ ์ํ์ ์ต์ํ ๊ณ ๊ฐ์๊ฒ ์ ๋ขฐ
์ ๋ฌด์ ์ง์ฅ์ ์ฃผ์ง ์๊ณ ์ฌ๊ณ ๋์ ๊ฐ๋ฅ
์ ์ํ ์ฌ๊ณ ๋์์ผ๋ก ํผํด ์ต์ํ
๊ธฐ์ ์ ๋ฒ์ ์ฆ๊ฑฐ๋ฅ๋ ฅ ํ๋ณด ์น์ ๊ฐ๋ฅ์ฑ์ ๋์
์ ์์ฆ๊ฑฐ๊ฐ์, ๊ท์ ์ค์์ ๊ฐ์ ๋ค๋ฅธ ๊ฑฐ๋ฒ๋์ค ํ๋๊ณผ ์ฐ๊ณํ์ฌ ํจ์ฉ์ ๋์
ํฌ๋ ์ ์ค๋น๋์ ๋ํ ๋๋น (1/2)
โ์กฐ์ฌ ๋น์ฉ์ ์ต์ํํ๊ณ ๋์งํธ ์ฆ๊ฑฐ์ ํ์ฉ ๊ฐ๋ฅ์ฑ์ ์ต๋ํํ๊ธฐ ์ํ ์กฐ์ง์ ๋ฅ๋ ฅโ ๋ณด์ ์ฌ๊ณ ์ ๋ฐ๋ฅธ ๋น์ฉ์ ์ต์ํํ๊ธฐ ์ํด ์ฌ๊ณ ๊ฐ ๋ฐ์ํ๋ฉด ์ ์ํ ์ ์ฌ์ ์ธ ํ์ ์ ๋ฒ์ ์ฆ๊ฑฐ๋ฅ๋ ฅ์ ์ ์งํ ์ํ์์ ์์งํ๊ณ ๋ถ์ํ ์ ์๋๋ก ์ฌ์ ์ ์ค๋น๋ฅผ ๊ฐ์ถ๋ ๊ฒ์ ์๋ฏธํ๋ค. ์ค๋น๋ ์ธ์ ๋ ธ๋ ฅ์ ๋น๋กฏํ์ฌ ์ ์ฑ ์ , ๊ธฐ์ ์ , ์กฐ์ง์ ์ธ ๋ ธ๋ ฅ์ ๋ชจ๋ ํฌํจํ๋ค.
forensicinsight.org Page 3 / 23
Trends in dForensics, Nov/2012
ํฌ๋ ์ ์ค๋น๋(Forensic Readiness)
โข ๋จ์
๊ธฐ์กด์ ๊ธฐ์ ๊ฑฐ๋ฒ๋์ค ํ๋๊ณผ ์ถฉ๋์ ํผํ๊ธฐ ์ํด ์ถฉ๋ถํ ์ ์ฑ ์ , ๊ธฐ์ ์ ๋ ผ์ ํ์
๋ง์ ๋น์ฉ ๋ถ๋ด, ๋น์ฉ์ ๋ฐ๋ฅธ ํจ์จ์ ์ ์ฆํ๊ธฐ ์ด๋ ค์
โข ๊ฐ๋จํ ๊ธฐ์ ์ ํฌ๋ ์ ์ค๋น๋ ๋๋น
์ด๋ฒคํธ๋ก๊ทธ ๋ชจ๋ํฐ๋ง
์๋ฒ ํ๋ฆฌํจ์น ์ค์
XP ๋ฐฉํ๋ฒฝ ๋ก๊ทธ ์ค์
ํฌ๋์ ๋คํ ์ค์
NTFS ๋ง์ง๋ง ์ ๊ทผ ์๊ฐ ์ค์
โข ์๋ก์ด ์์ฅ์ ๊ธฐ๋๊ฐ์ผ๋ก ๊ณผ์ฅ๋์ด ํ๋ณด ๊ฐ๋ ์ ์ธ ๋ฉด์์ ํ์ํจ ํ์ค์ ์ธ ๋์ ๊ณ ๋ ค
ํฌ๋ ์ ์ค๋น๋์ ๋ํ ๋๋น (2/2)
๋ณต์์ง์ /๋ณผ๋ฅจ์๋์ฐ ๋ณต์ฌ๋ณธ ์ค์
$LogFile ์ค์
๋ก๊ทธ ์ค์ ๊ฐํ
๋ก๊ทธ ๋ฐฑ์ ๊ณผ ๋ฌด๊ฒฐ์ฑ ์ ์ง
forensicinsight.org Page 4 / 23
Trends in dForensics, Nov/2012
๊ตฌ๊ธ ํฌ๋กฌ Preferences ํ์ผ
โข ๋ฐฑ์ , ๋ถ๋งํฌ, ๋ธ๋ผ์ฐ์ , ๊ฒ์ ์์ง, ๋ค์ด๋ก๋, ํ์ฅ ๊ธฐ๋ฅ, ํ๋ฌ๊ทธ์ธ, ์ธ์ , ์ฑํฌ ์ค์ ์ ๋ณด
โข ํด๋ผ์ฐ๋ ํ๋ฆฐํธ, DNS ํ๋ฆฌํจ์นญ, ์ค ๋ ๋ฒจ
โข ํด๋ผ์ฐ๋ ํ๋ฆฐํธ ํด๋ผ์ฐ๋ ํ๋ฆฐํธ๋ฅผ ์ค์ ํ ๋ํ ์ด๋ฉ์ผ
โข DNS ํ๋ฆฌํจ์นญ ์น ํ์ด์ง ๋ด์ ๋๋ฉ์ธ์ ๋ฏธ๋ฆฌ DNS ์ฟผ๋ฆฌํ์ฌ ํ๋ฆฌํจ์นญ
โข ์ค ๋ ๋ฒจ ๊ฐ ํ์ด์ง๋ณ ํ๋/์ถ์ ์ ๋ณด
๊ตฌ๊ธ ํฌ๋กฌ ํ๋ผ์ด๋ฒ์ ๋ฌธ์
forensicinsight.org Page 5 / 23
Trends in dForensics, Nov/2012
์๋์ฐ ๋ฌธ์ ๋ณด๊ณ (Windows Error Reporting)
โข ์๋์ฐ XP ๋ถํฐ ์ถ๊ฐ๋ ์๋น์ค
โข ํ๋์จ์ด๋ ์ํํธ์จ์ด ์ค๋ฅ ๋ฐ์ ์ ์๋ฆผ, ๋๋ฒ๊น ์ ๋ณด ์์ง
โข ์ค๋ฅ์ ๋ฐ๋ผ ์๋ฆผ ๋ฐ์์ด ๋ถ๊ท์น์
โข ์ค๋ฅ ๋๋ฒ๊น ์ ๋ณด๋ฅผ ์ด์ฉํด ๊ณต๊ฒฉ ์๋ ํ์ง
๊บผ์ง ๋ถ๋ ๋ค์๋ณด์: ์๋์ฐ ๋ฌธ์ ๋ณด๊ณ
forensicinsight.org Page 6 / 23
Trends in dForensics, Nov/2012
Why Information Security Fails Often in Korea? (1)
Why Information Security Fails Often in Korea? (2)
Global IP Finder using GeoIP for fun
Kevinโs Attic for Security Research
forensicinsight.org Page 7 / 23
Trends in dForensics, Nov/2012
์๋๋ก์ด๋ PIN/Password ๊ณต๊ฒฉ ๋ณต์ก๋
Android Pin/Password Cracking
forensicinsight.org Page 8 / 23
Trends in dForensics, Nov/2012
Data Stacking?
โข ๋งจ๋์ธํธ ์๋ฐฑ~์์ฒ์ ํธ์คํธ๋ก ์ด๋ฃจ์ด์ง ํฐ ์กฐ์ง์ ์กฐ์ฌ
์ฒ๋ฆฌ๋์ง ์์ ๋ฐ์ดํฐ๋ฅผ ์ค์ด๋ ์์ ์ธ ๋ฐ์ดํฐ ์คํํน์ด ํ์
์๋ ค์ง์ง ์์ ์ ์ฑ์ฝ๋๋ฅผ ๋ฐ๊ฒฌํ๊ธฐ ์ํด ๋ฐ์ดํฐ ์คํํน ์ฌ์ฉ
IOC (Indicator of Compromise) ์ฌ์ฉ
โข ๋ฐ์ดํฐ ์คํํน 4๋จ๊ณ
An In-Depth Look Into Data Stacking (1/3)
๋น์ด์์ ์ธ ๋ฐ์ดํฐ๋ฅผ ๋ถ๋ฆฌ/ํ์ธํ๊ธฐ ์ํด ์ ์ฌํ ๋ฐ์ดํฐ์ ๋์ฉ๋ ๋ณผ๋ฅจ์์ ์ํํ๋ ๋น๋ ๋ถ์ ๊ธฐ๋ฒ์ผ๋ก ๋ชจ๋๋ฐญ์์ ๋ฐ๋์ ์ฐพ๋ ์กฐ์ฌ ๊ธฐ๋ฒ์ด๋ค. ํฐ ๋ณผ๋ฅจ ๋ฐ์ดํฐ์์ ๋ถํ์ํ๊ฑฐ๋ ๊ด๋ฆฌ์ ์ธ ๋ฐ์ดํฐ๋ฅผ ์ ๊ฑฐํด๋๊ฐ๋ ๋ฐ๋ณต์ ์ธ ์์ ์ด๋ค.
๋จ๊ณ ํ์ ๊ฒํ ๊ฐ ํ์ํ ์ด
1 ํธ์คํธ์์ ๋ฐ์ดํฐ ํ๋ ์๋ฐฑ๋ง
2 ๋ ํนํ ์ด์ ์์ฑํ๊ธฐ ์ํด ๋ฐ์ดํฐ๋ฅผ ๊ทธ๋ฃนํ ์๋ง ~ ์์ญ๋ง
3 ์ธ๋ถ ํน์ฑ๊ณผ ๊ณ์ฐ์ ๊ธฐ๋ฐํด ์ด์ ๊ทธ๋ฃนํ ์๋ฐฑ ~ ์์ฒ
4 ๋น์ ์์ ์ธ ํ์ ํ์ง ๋ฐฑ ์ดํ
forensicinsight.org Page 9 / 23
Trends in dForensics, Nov/2012
Data Stacking?
โข 1๋จ๊ณ
๊ฐ๋ฅํ ํ๊ฒฝ ๋ด์์ ๋ง์ ํธ์คํธ๋ฅผ ๋์์ผ๋ก ๋ฐ์ดํฐ ํ๋ (MIR, Mandiant Intelligent Response)
โข 2๋จ๊ณ
๋ฐ์ดํฐ๋ฅผ ํน์ฑ ๋ณ๋ก ์์
โข 3๋จ๊ณ
์์ฑ๋ณ๋ก ๋ค์ํ ๊ทธ๋ฃนํ
์ธ๋ถ ํญ๋ชฉ์ด๋ ๋น๋๋ฅผ ๊ธฐ์ค์ผ๋ก ๋ถ๋ฅ
์ถ๊ฐ ์กฐ์ฌ๊ฐ ํ์ํ ์์ฑ ์งํฉ์ ๋ง๋ฆ
An In-Depth Look Into Data Stacking (2/3)
forensicinsight.org Page 10 / 23
Trends in dForensics, Nov/2012
Data Stacking?
โข 4๋จ๊ณ
๋น์ ์์ ์ธ ํ์ ์ ์ดํด๋ด ์ง๋ฃจํ ์์
An In-Depth Look Into Data Stacking (3/3)
forensicinsight.org Page 11 / 23
Trends in dForensics, Nov/2012
์์คํ ๊ด๋ฆฌ์์ ๋์ ํ์๋ ๋จ์์๋ ์์คํ ํ์
โข ๋ณดํต ๊ด๋ฆฌ์์ ๋ฌธ์ ํด๊ฒฐ ๋ฐฉ๋ฒ
McAfee ๋ฐฑ์ ์ค์บ
๋ชจ๋ ์์ ํด๋/ํ๋ฆฌํจ์น/์์คํ ๋ณต์ ์ง์ ์ญ์
๋ชจ๋ ํด์งํต ๋น์ฐ๊ธฐ
Avast! ์ค์น ํ ์ค์บ
โข ์ดํ์๋ ๋จ๋ ์ ์ฌ์ ์ธ ํ์
Host Based Logs โ AV Logs
NTFS Artifact
Registry Artifacts
System Timeline
Finding An Infection Vector After IT Cleaned the System
forensicinsight.org Page 12 / 23
Trends in dForensics, Nov/2012
์์คํ ๊ด๋ฆฌ์์ ๋์ ํ์๋ ๋จ์์๋ ์์คํ ํ์
โข ๋ณดํต ๊ด๋ฆฌ์์ ๋ฌธ์ ํด๊ฒฐ ๋ฐฉ๋ฒ
McAfee ๋ฐฑ์ ์ค์บ
๋ชจ๋ ์์ ํด๋/ํ๋ฆฌํจ์น/์์คํ ๋ณต์ ์ง์ ์ญ์
๋ชจ๋ ํด์งํต ๋น์ฐ๊ธฐ
Avast! ์ค์น ํ ์ค์บ
โข ์ดํ์๋ ๋จ๋ ์ ์ฌ์ ์ธ ํ์
Host Based Logs โ AV Logs
NTFS Artifact
Registry Artifacts
System Timeline
Finding An Infection Vector After IT Cleaned the System
forensicinsight.org Page 13 / 23
Trends in dForensics, Nov/2012
๋ณผ๋ผํธ๋ฆฌํฐ ๊ต์ก ํ๋ก๊ทธ๋จ
โข ๋ณผ๋ผํธ๋ฆฌํฐ ๊ฐ๋ฐ์๊ฐ ๊ต์ก
โข 5์ผ ์ฝ์ค (์๋ฃ, ์ ์ฌ, ์ปคํผ ์ ๊ณต)
โข ์ฌ์ ๊ตฌ์ฑ๋ ๊ฐ์ธ ๋ ธํธ๋ถ ์ง์ฐธ
ํ๋์จ์ด : CPU 2.0 GHz, 4GB RAM, 20 GB Disk, DVD-ROM, USB 2.0, Wireless NIC
์ํํธ์จ์ด : Python 2.6/2.7, MS Windows Debugger, VMWare, 7-zip, Wireshark
โข ๋น์ฉ : $3500 (ํํ 370 ๋ง์)
Windows Memory Forensics Training for Analysts by Volatility Developers
forensicinsight.org Page 14 / 23
Trends in dForensics, Nov/2012
์ ๋ณด๋ณดํธ ์ ๋ฌธ๊ฐ๋ก์ ๋ช ์ฑ์ ๋์ด๋ ๋ฐฉ๋ฒ
1. SNS๋ฅผ ํ์ฉ ๋จ์ํ ์๋ก์ด ์ํฐํด ๋งํฌ X, ์ค๋ช ์ฌ์ฉ, ๋ค์ ๋จ๊ณ์ ๋ด์ฉ์ ์ ์ฉ
2. ๊ณต๊ฐ/์ฌ์ ์ธ ๋ฉ์ผ๋ง ๋ฆฌ์คํธ์ ๊ฐ์ ์ ๋ณด๋ณดํธ ๊ด๋ จ ๋ค์ํ ๋ฉ์ผ๋ง ๋ฆฌ์คํธ
3. ์ ๊ธฐ์ ์ธ ๋ธ๋ก๊ทธ ํฌ์คํ ํธ์ํฐ์ ์๋์์ ๊พธ์คํ ๋ธ๋ก๊น ์ ์ด๋ ค์
4. ๋ฐฑ์ ์์ฑ ์์ ์ ์ด๋ฆ์ ์ฌ์ฉํด ํน์ ์ฃผ์ ์ ๋ํ ๋ฐฑ์ ์์ฑ ๋๋ ๋งค๊ฑฐ์ง ๊ธฐ๊ณ
5. CFP์ ๋ฐ์ ์์ ์ด ์๋ค๋ฉด ์์ ์ด๋ฒคํธ ๋ถํฐ ์์
6. ์ข์ ์ฑ ์ฐ๊ธฐ ๋์ ์ฑ ์ ์คํ๋ ค ์ ์ฐ๋๋ง ๋ชปํ ์๋โฆ
7. ์คํ์์ค ์ํํธ์จ์ด ๊ฐ๋ฐ/์ฐธ์ฌ
Raising Your Public Profile as an Information Security Professional
forensicinsight.org Page 15 / 23
Trends in dForensics, Nov/2012
AUP์ ๋ฌธ์ ์
โข ์ฌ์ฉ์์๊ฒ ์ ๋ณด๋ฅผ ์๋ฆฌ๊ธฐ ์ํ ๋ชฉ์ ์ด๊ธฐ ๋ณด๋ค๋ ์๋ฌด์ ์ผ๋ก ๊ณต๊ฐ ๋ด์ฉ๊ณผ ๊ตฌ์ฑ์ด ์ง๋ฃจํจ
โข ์์ ์ ๊ฒฝํ์ ๋ฏธ๋ฃจ์ด AUP๋ฅผ ๊ฐ์ ํ ๊ฒฐ๊ณผ, ์๋นํ ์์ ๋ถํ์ํ ๋ด์ฉ ์ ๊ฑฐ
Unacceptable Acceptable Use Policy
Hi. Welcome to Organisation. We take Information Security and the use of our systems very seriously - to this end, there are a few things that weโd really like you to agree to do when using any of the company computer systems. Please choose a good password, a mix of letters and numbers, both lower and upper case are good. Remembering a good password can be difficult, but as a help, you might like to try using a consonant vowel consonant sequence to make it pronounceable - bogdotfan - and then add a number - bogdotfan25 and then mix it up with some upper case - bOgDotfAn25. Please do change the password when requested by the system, and do use a completely new one each and every time. Do protect the password - it is part of what identifies you on the system, and, when it is entered any and all action taken when using it will be assumed to be yours. Do turn your laptop off when you are in transit - the encryption doesnโt work if the device has been left on or in standby. Please help us to reduce the risk of malware or data loss by using only officially issued, encrypted USB devices in your company laptop or desktop. โฆ โฆ
forensicinsight.org Page 16 / 23
Trends in dForensics, Nov/2012
์ฆ๊ฑฐ๋ฅผ ์์ ์ญ์ ํ๊ณ ๋ง์น๋ก ํผ์ํ ํ์์ ๋ํ ํ๋ก
โข 2009๋ ์๊ณ ๋ โํผ๊ณ ์ธ์ ๋ํ ์์ ์ ์์ ์ฒญ๊ตฌโ์ ๊ด๋ จํ์ฌ ๋ณํธ์ฌ ๊ณ ์ฉ
โข ๋ณํธ์ฌ๋ ์๊ณ ๊ฐ ํ ๋ฌธ์ ๋ณ์กฐ ํ์์ ๋ํด ๊ฒฝ๊ณ ์๊ณ ๋ ๋ค๋ฅธ ๋ณํธ์ฌ ๊ณ ์ฉ
โข ์๊ณ ๋ ์ ๋ฌด์ ๋ฐ์คํฌํฑ ์ปดํจํฐ ์ฌ์ฉ
โข 2010~2011๊ฒฝ ๋ฐ์คํฌํฑ์ด ๋ง์ด ๊ฐ์ ๋ฐฑ์ ์๋ ์ ํ์ ์ธ ์ฑ๊ณต (์๋ด ์๋ฃ ์ ๋ณด ๋ณต๊ตฌ)
โข ์๋ก์ด ๋ ธํธ๋ถ์ผ๋ก ๋ด์ฉ ์ ์ก ๋ฐ์คํฌํฑ๊ณผ ํ๋ ๊ต์ฒด
โข ์ด ๋น์, ๋ฐ์คํฌํฑ ์ปดํจํฐ๋ฅผ ๋ง์น๋ก ๋ถ์๊ณ ์ฐ๋ ๊ธฐ ๋งค๋ฆฝ์ง์ ๋ฌป์ ๋ถ์ธ ์ํจ
โข 2011๋ ์๊ณ ๋ CCleaner๊ฐ ์ค์น๋ ๋ ธํธ๋ถ ์ง๊ธ ๋ฐ์
โข CCleaner ๋ฐฑ์ ๋ณต์ ๊ณผ์ ์์ ์ค์น๋๋ค๊ณ ์ฃผ์ฅ
โข ๋ฒ์์ ์กฐ์ฌ๋ฅผ ๋ช ๋ น
Use of a Hammer and of Wiping Software to Destroy Evidence Results in Dismissal of Plaintiff's Claims (1/2)
forensicinsight.org Page 17 / 23
Trends in dForensics, Nov/2012
์ฆ๊ฑฐ๋ฅผ ์์ ์ญ์ ํ๊ณ ๋ง์น๋ก ํผ์ํ ํ์์ ๋ํ ํ๋ก
โข ์๊ณ ๊ฐ ๋ณํธ์ฌ์๊ฒ ๋ณด๋ธ ๋ฉ์ผ์์ ์๊ณ ์ ๋ถ๋ง๊ณผ ๊ทธ์ ํ์์ ๋ํ ํ์ ์ ์ฐพ์
โข ๋ ๋ค๋ฅธ ํ์
๋ฒ์ ์กฐ์ฌ ๋ช ๋ น์ ๋ฐ์ ํ ๊ณง๋ฐ๋ก Evidence Eliminator ๋ค์ด
ํ๋ก๊ทธ๋จ์ ์ ์ด๋ 1๋ฒ, ์๋ง๋ 3๋ฒ ์คํ
CCleaner์ ์ํด ์ต์ 16,000 ํ์ผ์ด ์ญ์ ๋จ
โข ๋ฒ์์ ๋ณํธ์ฌ์ ์ฃผ๊ณ ๋ฐ์ ๋ฉ์ผ๊ณผ ์์คํ ํ์ ์ ๊ธฐ๋ฐ์ผ๋ก ์๊ณ ์ ์ฃผ์ฅ์ ๊ธฐ๊ฐ
ํผ๊ณ ์ ํฉ๋ฆฌ์ ์ธ ๋ณํธ์ฌ ์์๋ฃ์ ๋น์ฉ์ ๋ณด์
์ง๋ฒ์ ๊ธ์ ์ ์ ์ ๋ ํ์ง ์์
Use of a Hammer and of Wiping Software to Destroy Evidence Results in Dismissal of Plaintiff's Claims (2/2)
forensicinsight.org Page 18 / 23
Trends in dForensics, Nov/2012
์บ๋ฆฌํฌ์ด๋ ๋ถ๋ถ ์ง๋ฐฉ ๋ฒ์์์ ์ ์์ฆ๊ฑฐ๊ฐ์์ ๊ด๋ จํ ์๋ก์ด ๊ฐ์ด๋๋ผ์ธ ๊ณต๊ฐ
โข ์๋ก์ด ESI ๊ด๋ จ ๋ฌธ์
Guidelines for the Discovery of Electronically Stored Information;
ESI checklist for use during the Rule 26(f) meet and confer process;
Model Stipulated Order Re: the Discovery of Electronically Stored Information.
Standing Order for All Judges of the Northern District of California
Court Adopt New E-Discovery Guidelines Effective November 27, 2012
forensicinsight.org Page 19 / 23
Trends in dForensics, Nov/2012
์์ฝ๋ ๋ฆฌ๋ฒ์ฑ
โข ์์ฝ๋ ์ ์์๋ API ํจ์ ๊ธธ์ด์ ์ ํ๊ณผ ๊ฐ์ ํฌ๊ธฐ ์ ํ์ ์ง๋ฉด
โข ๋ณดํต ํน์ ํด์๋ฅผ ์ด์ฉํ์ฌ ํจ์ ์ด๋ฆ์ ์ค์
โข ์๋ ค์ง ํด์๋ฅผ ์ด์ฉํด API ํจ์ ์ด๋ฆ์ ๋ฏธ๋ฆฌ ๊ณ์ฐ
โข ์ด๋ฅผ ์ด์ฉํด ์ํฌํธ/์ต์คํฌํธ ํจ์ ํ๋จ
โข IDA ์คํฌ๋ฆฝํธ ๊ณต๊ฐ
Using Precalculated String Hashes when Reverse Engineering Shellcode
forensicinsight.org Page 20 / 23
Trends in dForensics, Nov/2012
Blacksheep: Detecting Compromised Hosts in Homogeneous Crowds
โข ๋ถ์ฐ์ฒ๋ฆฌ์ ๊ธฐ๋ฐํ Blacksheep ์ผ๋ก ๊ฐ์ผ๊ณผ 0-day๋ฅผ ํ์งํ ์ ์๋ค๋ ๋ด์ฉ์ ๋ ผ๋ฌธ
Tracing UDP Backdoor Activity on MacOS X
โข Dtrace๋ฅผ ์ด์ฉํด MacOS X์์ ๋์ ์ค์ธ UDP ๋ฐฑ๋์ด๋ฅผ ํ์ง/์ถ์ ํ๋ ๋ด์ฉ
A technical analysis on new Java vulnerability (CVE-2012-5076)
โข ์๋ก์ด ์๋ฐ ์ทจ์ฝ์ ์ธ CVE-2012-5076์ ๊ธฐ์ ์ ์ธ ๋ถ์ ๋ด์ฉ
Deobfuscating Blackhole V2 HTML pages with Python
โข Blackhole v2 HTML ํ์ด์ง์ ๋๋ ํ๋ฅผ ํผ ๋ด์ฉ์ ๊ฐ๋จํ ์๊ฐ
64-bit Linux rootkit injecting iframes into web page
โข ์น ํ์ด์ง์ iframe์ ์ฝ์ ํ๋ 64๋นํธ ๊ธฐ๋ฐ ๋ฃจํธํท ๋ถ์ ๋ด์ฉ
Others
forensicinsight.org Page 21 / 23
Trends in dForensics, Nov/2012
AxCrypt Artifacts
โข ์๋์ฐ์ ์คํ์์ค ํ์ผ ์ํธํ ์ํํธ์จ์ด์ธ AxCrypt์ ์ํฐํฉํธ ์ํฐํฉํธ ๋ฑ ํฌ (?)
S.C. tax breach began when employee fell for spear phishing
โข ์ฌ์ฐ์ค ์บ๋กค๋ผ์ด๋ ๊ตญ์ธ์ฒญ์ด ์คํผ์ด ํผ์ฑ์ผ๋ก ์ธํด ์๋ฐฑ๋ง๊ฑด์ ์ฌํ๋ณด์ฅ๋ฒํธ์ ๊ฐ์ธ์ ๋ณด๊ฐ ์
์ถ๋จ ์ด์ ๋ํ ๋งจ๋์ธํธ์ ๋ณด๊ณ ์๋ฅผ ํ์ธํ ์ ์์
ICLOUD (IN)SECURITY โ EXAMINING IOS DATA BACKED UP IN THE CLOUD
โข iOS ์ ๋ํ ๊ธฐ๋ณธ์ ์ธ ํฌ๋ ์ ๋ฐฉ๋ฒ๊ณผ iCloud ์์ ํต์ ๋ฐฉ์์ ์๊ฐ
Proactive detection of security incidents II - honypots
โข ENISA(European Network and Information Security Agency)์์ ์๋ ์ด ์ด์ด ๊ณต๊ฐํ [๋คํธ์
ํฌ ๋ณด์ ์ฌ๊ณ ์ฌ์ ํ์ง]์ ๊ด๋ จํ ๋ณด๊ณ ์
Others
forensicinsight.org Page 22 / 23
Trends in dForensics, Nov/2012
Memoryze for the Mac: Support Added for OS X Mountain Lion (10.8)
VMInjector โ DLL Injection tool to unlock guest VMs
Nmap 6.25 holiday season relased!
OllyDbg 2.01 Updated โ sample plugins, preliminary plugin API, test application
Tableau Imager Enhancements and Bug Fixes
BAREF โ Browser Artifact Recovery Forensic Framework
python-oldtools, phtyon tools to analyze OLE files
Google Analytics Cookie Parser
AnalyzePESig Updated!
Bulk_extractor 1.3.1 updated!
Forensics Tools