케이스·악성코드 연계 가이드
케이스·악성코드 연계 가이드#
악성코드 분석은 파일 자체의 위험도를 설명하고, 포렌식 케이스 분석은 해당 파일이 실제 환경에서 어떻게 등장하고 실행됐는지를 설명합니다. 두 결과를 연결하면 침해사고 경로, 외부 연결, 유출 가능성, 사용자 행위를 더 정확히 판단할 수 있습니다.
연결하면 좋은 정보#
| 악성코드 분석 정보 | 케이스에서 확인할 항목 |
|---|---|
| SHA-256 해시 | 동일 파일 존재 여부, 다운로드 경로, 실행 흔적 |
| 파일명 | Prefetch, AmCache, RecentDocs, LNK, shell history |
| 생성·수정 시간 | 타임라인의 전후 이벤트, 사용자 활동 시간대 |
| IP·도메인 | DNS, 브라우저, 프록시, 방화벽, 네트워크 로그 |
| 지속성 신호 | 자동실행, 서비스, 예약 작업, 시작 프로그램 |
| 파일 접근 행위 | 민감 폴더 접근, 압축, 복사, 삭제 흔적 |
| MITRE 매핑 | 케이스의 킬체인 단계와 일치 여부 |
권장 분석 흐름#
- Malware Lab에서 파일 해시, IOC, 위험 행위, MITRE 매핑을 확인합니다.
- 해당 악성코드 결과를 케이스와 연결합니다.
- AI 분석에서 IOC와 파일명을 기준으로 케이스 내 흔적을 검색합니다.
- 수동 분석에서 원본 아티팩트와 시간 정보를 검증합니다.
- 타임라인에서 파일 등장, 실행, 네트워크 연결, 데이터 접근 순서를 재구성합니다.
- 리포트에는 파일 자체 분석과 실제 환경 증거를 분리해 적습니다.
사용자 질의 예시#
- "이 악성코드의 IOC가 케이스 증거에 등장하는지 찾아줘"
- "이 파일이 처음 생성되거나 실행된 시간을 기준으로 전후 1시간 타임라인을 보여줘"
- "외부 연결 IP와 브라우저·DNS·네트워크 로그를 대조해줘"
- "이 파일 실행 이후 민감 파일 접근이나 압축, USB 연결이 있었는지 확인해줘"
- "악성코드 분석 결과와 케이스 증거를 합쳐 침해사고 경로를 요약해줘"
좋은 리포트 구성#
| 섹션 | 내용 |
|---|---|
| 파일 분석 | 악성코드 자체의 위험도, 기능, IOC, MITRE 매핑 |
| 환경 증거 | 케이스에서 확인된 실행, 생성, 접근, 네트워크 흔적 |
| 시간 흐름 | 파일 등장부터 후속 행위까지의 타임라인 |
| 영향 판단 | 유출, 지속성, 권한 상승, 추가 감염 가능성 |
| 후속 조치 | IOC 차단, 계정 점검, 추가 수집, 원본 검증 |
주의사항#
- 악성코드 IOC가 케이스에 없다고 해서 감염이 없었다고 단정할 수 없습니다.
- 파일이 악성이라도 실제 실행 흔적이 없으면 영향 판단을 분리해야 합니다.
- 외부 연결 정황은 네트워크 로그와 시간대가 맞을 때 신뢰도가 높아집니다.
- 케이스 증거와 파일 분석 결과는 서로 보완하는 자료이며, 어느 하나만으로 최종 결론을 내리지 않는 것이 안전합니다.
다음 단계#
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.