Digital Forensics

detecting-rootkit-activity는 숨겨진 프로세스, 후킹된 시스템 호출, 변경된 커널 구조, 숨겨진 모듈, 은밀한 네트워크 흔적 같은 루트킷 징후를 찾아내는 Malware Analysis 스킬입니다. 크로스 뷰 비교와 무결성 검사를 사용해, 일반 도구의 결과가 서로 다를 때 의심 호스트를 검증하는 데 도움을 줍니다.

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

building-incident-timeline-with-timesketch는 DFIR 팀이 Plaso, CSV 또는 JSONL 증거를 수집해 타임스탬프를 정규화하고, 이벤트를 상관 분석하며, 공격 체인을 문서화해 사고 분류와 보고에 활용할 수 있도록 Timesketch에서 협업형 사고 타임라인을 구축하는 데 도움을 줍니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.

악성코드 분석을 위한 extracting-iocs-from-malware-samples 기술 가이드입니다. 샘플에서 해시, IP, 도메인, URL, 호스트 아티팩트, 검증 단서를 추출해 위협 인텔과 탐지에 활용할 수 있습니다.

악성코드 분석용 extracting-config-from-agent-tesla-rat 스킬로, Agent Tesla .NET 설정값과 SMTP/FTP/Telegram 자격 증명, 키로거 설정, C2 엔드포인트를 반복 가능한 워크플로 가이드와 함께 추출합니다.

extracting-browser-history-artifacts는 Chrome, Firefox, Edge에서 브라우저 기록, 쿠키, 캐시, 다운로드, 북마크를 추출하는 디지털 포렌식 스킬입니다. 브라우저 프로필 파일을 타임라인 분석에 바로 쓸 수 있는 증거로 바꾸고, 반복 가능한 사건 중심 워크플로 안내를 제공할 때 유용합니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

detecting-stuxnet-style-attacks 스킬은 PLC 로직 변조, 위장된 센서 데이터, 엔지니어링 워크스테이션 침해, IT-OT 측면 이동을 포함한 Stuxnet 유사 OT 및 ICS 침입 패턴을 탐지하는 데 도움을 줍니다. 프로토콜, 호스트, 프로세스 증거를 함께 활용하는 위협 헌팅, 사고 초기 분류, 공정 무결성 모니터링에 적합합니다.

detecting-process-injection-techniques는 수상한 메모리 내 활동을 분석하고, EDR 경보를 검증하며, Security Audit와 멀웨어 분류 작업에 필요한 process hollowing, APC injection, thread hijacking, reflective loading, classic DLL injection을 식별하는 데 도움을 줍니다.

detecting-arp-poisoning-in-network-traffic은 ARPWatch, Dynamic ARP Inspection, Wireshark, Python 검사를 활용해 실시간 트래픽이나 PCAP에서 ARP 스푸핑을 탐지하는 데 도움이 됩니다. 사고 대응, SOC 선별 대응, 그리고 IP-MAC 변경, gratuitous ARP, MITM 징후를 반복적으로 분석하는 용도로 설계되었습니다.

analyzing-outlook-pst-for-email-forensics는 Outlook PST 및 OST 파일을 검사해 메시지 내용, 헤더, 첨부파일, 삭제된 항목, 타임스탬프, 메타데이터를 확인하는 디지털 포렌식 스킬입니다. 이메일 증거 검토, 타임라인 재구성, 그리고 사고 대응 및 법적 사건에 필요한 입증 가능한 조사 워크플로를 지원합니다.

analyzing-packed-malware-with-upx-unpacker는 UPX로 패킹된 샘플을 식별하고, 수정된 UPX 헤더를 처리하며, 원본 실행 파일을 복구해 Ghidra나 IDA에서 정적 분석할 수 있도록 돕는 악성코드 분석 스킬입니다. `upx -d`가 실패할 때나, 더 빠르게 UPX 패커 여부를 확인하고 언팩하는 워크플로가 필요할 때 사용하세요.

analyzing-network-traffic-for-incidents는 사고 대응 담당자가 PCAP, 플로우 로그, 패킷 캡처를 분석해 C2, 측면 이동, 유출, 침투 시도를 확인하도록 돕습니다. Wireshark, Zeek, NetFlow 스타일 조사에 맞춰 설계된 analyzing-network-traffic-for-incidents 기반 Incident Response 분석용 도구입니다.

analyzing-memory-dumps-with-volatility는 Windows, Linux, macOS의 RAM 덤프에서 메모리 포렌식, 악성코드 1차 분류, 숨겨진 프로세스, 인젝션, 네트워크 활동, 자격 증명 확인에 쓰는 Volatility 3 스킬입니다. 사고 대응과 악성코드 분석을 위해 재현 가능한 analyzing-memory-dumps-with-volatility 가이드가 필요할 때 적합합니다.

analyzing-malicious-pdf-with-peepdf는 의심스러운 PDF를 위한 정적 악성코드 분석 skill입니다. peepdf, pdfid, pdf-parser를 사용해 피싱 첨부파일을 분류하고, 객체를 검사하고, 포함된 JavaScript나 shellcode를 추출하며, 실행 없이 수상한 스트림을 안전하게 검토할 수 있습니다.

analyzing-macro-malware-in-office-documents는 악성 VBA가 포함된 Word, Excel, PowerPoint 파일을 분석해 난독화를 해독하고, IOC, 실행 경로, 페이로드 스테이징 로직을 추출하도록 도와줍니다. 피싱 1차 분류, 사고 대응, 문서 악성코드 분석에 적합합니다.

analyzing-linux-kernel-rootkits는 Volatility3의 크로스뷰 검사, rkhunter 스캔, 그리고 /proc 대 /sys 비교 분석을 통해 숨겨진 모듈, 후킹된 시스템 호출, 변조된 커널 구조를 찾아내는 데 도움을 주는 DFIR 및 위협 헌팅 워크플로입니다. 포렌식 초기 분석에 실용적인 analyzing-linux-kernel-rootkits 가이드입니다.