<aside> 📌

CS 위협 탐지 → SA 사고 신고(양식 작성 후 discord)

</aside>

00. THOR 사용법

LS25 Thor 사용법

• hostname 마다 라이센스 발급 → 라이센스 포함한 thor 설치 프로그램 다운로드 필요

01. 히스토리

후기 참고

• 윈도우
  • workstation 느려서 thor 결과가 제대로 나오지 않음(6시간) → edr / 수동으로 확인 필요(자동실행 등록 등)
  • thor에서 식별 안된 악성코드 → system 경로 파일 중 최근 수정되었거나 파일 속성의 디지털 서명 확인해서 유효한지 확인

03. LINUX Threat Hunting

1. 루트킷

• thor 사용해서 스캐닝

• 파일 기반 탐지 잘 됨

  • Diamorphine, Reptile, KoviD

  

  

• 메모리 기반 탐지

  • ex) Diamorphine 동작 시킨 후 스캐닝

• 고려할 사항

  • 루트킷 등 악성코드가 지속성 유지를 위해 설정해놓은 값 확인 필요
    • ex) reptile → /lib/udev/rules.d/ → 52-reptile.rules
  • THOR 출력 데이터 외 전달할 정보