지난 4월 19일 서울에서 열린 Secure Korea April 2023 SANS Community Night에 참여하였다.
그날 들었던 강의는 Windows Fast Forensic Analysis 이라는 주제로, Zachary Mathis라는 강사님이 발표를 해주셨다.
맨 앞자리가 비어있길래 바로 앉아 강의를 들었고, 강의는 실시간 통역으로 이루어졌다.
강의 내용을 적어보자면
기존의 Windows 이벤트 로그 분석은 1) 분석하기 어려운 데이터 형식이고 2) 대부분의 데이터가 그냥 noise로서 조사에 유용하지 않기 때문에 매우 길고 지루한 프로세스였다.
강사님께서는 이에 대한 제대로 된 툴이 없는 것 같다고 생각하여 직접 도구를 만드셨다고 한다. (ㄷㄷ)
그 도구는 바로 Hayabusa (송골매)라는 이름으로, 세계에서 가장 빠른 동물이며 사냥에 뛰어나고 훈련이 잘 된다는 특징을 토대로 이러한 이름을 선택하셨다고 한다.
(추가로 강사님께서는 한국의 '송골매 밴드'를 좋아하신다고 한다. 음.. 왜째서?)
Hayabusa는 일본의 Yamato Security 그룹에서 만든 Windows 이벤트 로그 타임라인 생성기 도구이다.
Rust 100%로 작성되었고 빠른 속도를 위해 다중 스레딩을 지원한다
3250개가 넘는 시그마 규칙과 약 150개의 Hayabusa 내장 탐지 규칙이 있다.
이는 분석 과정에서 80%를 차지하였던 Windows 이벤트 로그 분석 시간을 20%로 줄였다고 한다.
이런 식으로 critical 여부에 따라 색깔로 구분해주기도 하며, Html로 보고서를 작성해주기도 한다. 기타 등등
Hayabusa에 대한 더 자세한 설명은 깃허브를 참고해주면 좋을 것 같다.
(https://github.com/Yamato-Security/hayabusa#windows-logging-recommendations)
설명은 이쯤에서 가볍게 마치고 후기를 남겨보자면
일찍 가서 맨 앞자리에 앉아 강의를 들으니 더 집중이 잘되었다. 앞으로도 이런 모임에는 일찍 참여해봐야겠다.
그리고 rust 언어도 공부해볼까 생각하고 있던 와중에 이 강의를 들으니 동기부여도 되고 더 재미있었다.
마지막으로 강의가 끝나고 3개 한정판 SANS 티셔츠를 걸고 강의 관련 퀴즈가 진행되었는데
첫 번째 문제를 맞히고 티셔츠를 얻었다 👍
다음번에도 이런 강의가 있다면 참여해봐야겠다