SEO

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 3.20 사이버테러 사건 개요2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 작동이 중지되는 사건이 발생하였습니다. 사건이 발생하고 악성코드에 감염된 컴퓨터들은 사용자에게 재부팅을 요구하거나 강제로 재부팅을 한 이후에 동작을 중지했습니다. 이러한 동작의 원인은 MBR이 파괴된 것으로 드러났습니다. 비슷한 시간에 대한민국의 주요 언론사와 기업체의 전산망이 마비되고, 위와 같은 방식으로 감염되어 KBS, MBC, YTN 등의 방송국과 농협, 신한은행, 제주은행, 우리은행이 피해를 입었습니다. 실제로 이 사건으로 인해 인터넷 뱅킹 거래와 현금 자동입출금기 이용 등..

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 한수원 사이버테러 사건 시나리오  국내의 대표적인 악성코드 감염 사례로는 한수원 사건이 있습니다.위의 사진은 2014년 12월 9일에 발생하였던 한수원 사이버테러 사건은 공격 시나리오입니다.한수원 사이버테러 사건의 침투 과정은 다음과 같습니다.kimsuky로 추측되는 북한 해커 조직이 중국 선양 IP 대역을 사용합니다.범행에 사용된 중국 선양 IP 대역은 평소 북한 해킹 조직이 사용하는 kimsuky 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했습니다. (175.167..)중국 선양 IP 대역을 VPN 업체를 통하여 국내 IP 주소로 변환합니다.국내 VPN 업체..

Q1. Knowing the source IP of the attack allows security teams to respond to potential threats quickly. Can you identify the source IP responsible for potential port scanning activity?포트 스캐닝을 할 때는 보통 TCP, UDP, ICMP 프로토콜을 사용할 가능성이 큽니다. 그 중 87.96.21.84 주소에서 TCP 프로토콜을 통해 SYN 패킷을 지속적으로 보냈기 때문에 포트 스캐닝이라 판단하였습니다. Q2. During the investigation, it's essential to determine the account targeted by the atta..

Q1. Categorizing malware allows for a quicker and easier understanding of the malware, aiding in understanding its distinct behaviors and attack vectors. What's theㅊ identified malware's category?VT에서는 각 벤더사들의 제품이 탐지한 탐지명을 기반으로 Threat categories를 제공합니다. (처음에는 패밀리 적으라는  줄 알았네요...ㅎㅎ) Q2. Clear identification of the malware file name facilitates better communication among the SOC team. What's the f..