EDR 및 OS 로그를 기반으로 시스템 내 실행 중인 프로세스를 식별하고, 정상 프로세스 목록과 비교하여 비정상적이거나 외부 제어 징후가 있는 프로세스를 점검합니다.

프로세스의 실행 경로, 서명 유효성, 자식 프로세스 생성 패턴, 네트워크 연결 내역 등을 종합 분석하여 공격자에 의해 삽입된 악성 행위 여부를 판별합니다.

수집된 실행 파일, 스크립트, 라이브러리 등을 정적·동적 분석 도구 및 위협 인텔리전스를 활용해 악성코드 감염 여부를 판별합니다.

파일 해시 기반 탐지, 의심 코드 패턴, C2 통신 시도, 지속성 유지(Persistence) 여부 등을 종합 검토하여 시스템 내 잠재 위협을 식별 및 제거합니다.

웹 서버 디렉토리를 대상으로 비정상 업로드 파일 및 웹쉘 형태의 악성 스크립트(PHP, JSP, ASP 등) 존재 여부를 점검합니다.

난독화 코드 분석, 의심 HTTP 요청(POST, multipart upload 등) 추적을 통해 공격자에 의해 삽입된 원격 제어 웹쉘 여부를 확인합니다.

운영체제에서 비정상적으로 동작하는 의심 프로세스(권한 상승, 비정상 부모-자식 관계, 레지스트리 자동실행 등록 등)를 탐지하여, 악성 행위나 불법 권한 상승 등의 징후를 조기에 확인합니다.

EDR의 행위 기반 탐지 로그를 기반으로 프로세스 생성 시점, 명령줄(Command-line) 인자, 이미지 패스 등을 교차 분석하여 비인가 행위 여부를 식별합니다.

시스템 및 도메인 내 사용자 계정의 생성·삭제·권한 변경 내역을 점검하고, 비인가 관리자 권한 상승, 의심 계정 생성, 장기 미사용 계정을 식별합니다.

로그온 이벤트를 분석하여 공격자에 의한 계정 탈취나 내부자 오용 가능성을 검토합니다.

시스템 내 활성화된 네트워크 연결 및 과거 접속 이력을 분석하여 외부 C2 서버 연결, 비인가 IP 통신, 악성 도메인 접속 여부를 점검합니다.

네트워크 트래픽 로그 및 OS 네트워크 세션 정보를 교차 분석하여 공격자 원격 접속 흔적(SSH, RDP, 터널링 등)을 탐지합니다.

Windows Event Log, Sysmon, Linux audit log 등 주요 로그를 분석하여 비정상 로그인, 서비스 등록, 스크립트 실행, 정책 변경 등 침해 징후를 점검합니다.

로그 상의 시간대별 공격 시도, 실패한 인증, 프로세스 실행 이력 등을 종합하여 공격자의 행위 타임라인과 침입 경로를 재구성합니다.