[보안] 시스템 로그 분석 2 (feat. Powershell)

 

 

 

Windows PowerShell

 

 

• 관리자를 위해 특별히 설계된 windows 명령 쉘
  
       -> cmd보다 많은 기능 보유, 시스템 자동화 관리에도 사용
       -> 자동화 관리는 bash 또는 powershell을 이용
  
  
• 로그 검색 시 windows 이벤트 뷰어 보다 많은 이점 있음
  
  
• windows + R 조합으로 실행 메뉴 -> powershell 입력
  
  
  

 

 

 

사용 가능한 로그 위치 목록 가져오기

PS C:\Users\A0501660> get-eventlog -list

  Max(K) Retain OverflowAction        Entries Log
  ------ ------ --------------        ------- ---
  20,480      0 OverwriteAsNeeded       8,219 Application
  20,480      0 OverwriteAsNeeded           0 HardwareEvents
     512      7 OverwriteOlder              0 Internet Explorer
  20,480      0 OverwriteAsNeeded           0 Key Management Service
     128      0 OverwriteAsNeeded          56 OAlerts
                                              Security
  20,480      0 OverwriteAsNeeded      16,952 System
  15,360      0 OverwriteAsNeeded       8,469 Windows PowerShell

 

 

로컬에서 시스템 로그를 얻기 위한 명령

PS C:\Users\A0501660> Get-EventLog -LogName System

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   20346 2 04 14:45    Warning     hcmon                  2147483648 Detected unrecognized USB driver (\Driver\USBPc...
   20345 2 04 14:38    Information Netwtw06               1073748827 7003 - Roam Complete
   20344 2 04 14:35    Information Netwtw06               1073748845 7021 - Connection telemetry fields and analysis...
   20343 2 04 14:35    Warning     hcmon                  2147483648 Detected unrecognized USB driver (\Driver\USBPc...
   20342 2 04 14:35    Information Microsoft-Windows...            1 시스템이 저전원 상태에서 복귀되었습니다....
   20341 2 04 14:35    Information Microsoft-Windows...        10001 WLAN 확장성 모듈을 시작했습니다....
   20340 2 04 14:35    Information Netwtw06               1073748841 7017 - secure boot (SB) configuration
   20339 2 04 14:35    Information Netwtw06               1073748834 7010 - driver enabled (miniport init)
   20338 2 04 14:35    Information Netwtw06               1073748829 7005 - SAR value max TX power (WRDS)
   20337 2 04 14:35    Information BTHUSB                 1074069522 Bluetooth 인증 코드(연결 키)를 로컬 어댑터에 저...
   20336 2 04 14:35    Information Netwtw06               1073748860 \Device\NDMP6 서비스가 Intel(R) Dual Band Wirel...
   20335 2 04 14:35    Information Microsoft-Windows...          131 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
   20334 2 04 14:35    Information Microsoft-Windows...            1 CVE의 가능한 검색: 2021-02-04T05:35:14.50000000...
   20333 2 04 14:25    Information Microsoft-Windows...          107 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
   20332 2 04 14:25    Information Netwtw06               1073749824 8000 - Miniport Halt flow (driver disable)
   20331 2 04 14:25    Warning     Microsoft-Windows...        10002 WLAN 확장성 모듈을 중지했습니다....
   20330 2 04 14:25    Warning     hcmon                  2147483648 Detected unrecognized USB driver (\Driver\USBPc...
   20329 2 04 14:25    Information Microsoft-Windows...           42 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
   20328 2 04 14:25    Information Microsoft-Windows...           40 'Microsoft-Windows-Kernel-Power' 소스의 Event I...
   20327 2 04 14:24    Warning     hcmon                  2147483648 Detected unrecognized USB driver (\Driver\USBPc...
   20326 2 04 14:14    Information Service Control M...   1073748864 Background Intelligent Transfer Service 서비스...
   20325 2 04 14:13    Warning     hcmon                  2147483648 Detected unrecognized USB driver (\Driver\USBPc...
   20324 2 04 14:11    Information Service Control M...   1073748864 Background Intelligent Transfer Service 서비스...
   
           |
           |
           |

 

뒤에 옵션 붙이기 가능

PS C:\Users\A0501660> Get-EventLog -LogName System -Newest20
PS C:\Users\A0501660> Get-EventLog -LogName System -Source DCOM

 

 

 

 

로그찍힌 것들을 powershelllog.txt라는 이름으로 만들고싶다면 다음과 같이 해주세요

notepad로 만들어진 것 로드가능 합니다:)

PS C:\Users\A0501660> get-eventlog -logname Windows* >>powershelllog.txt
PS C:\Users\A0501660> notepad powershelllog.txt

 

 

 

 

모든 감사 로그를 위한 관리자 명령

Auditpol/set/Category:System /failure:enable

 

 

 

 

사용자 계정 보는 명령 - net users입력!!!

Microsoft Windows [Version 10.0.18363.1316]
(c) 2019 Microsoft Corporation. All rights reserved.

C:\Windows\system32>net users

\\SKIN330001250에 대한 사용자 계정

-------------------------------------------------------------------------------
A0501660                 Administrator            DefaultAccount
Guest                    WDAGUtilityAccount
명령을 잘 실행했습니다.

 

 

 

 

증거수집 및 분석도구

 

1. 시스템시간 및 시스템 정보 수집

C:\Windows\system32>date
현재 날짜: 2021-02-05
새로운 날짜를 입력하십시오: (년-월-일)

C:\Windows\system32>time
현재 시간: 10:57:52.34
새로운 시간을 입력하십시오:

C:\Windows\system32>date && time
현재 날짜: 2021-02-05
새로운 날짜를 입력하십시오: (년-월-일)
현재 시간: 10:57:59.94
새로운 시간을 입력하십시오:

C:\Windows\system32>
C:\Windows\system32>ver

Microsoft Windows [Version 10.0.18363.1316]

 

 

 

 

 

2. web browser history

 

--> 히스토리(방문기록들), 캐쉬(다운받거나 하는 것들), 쿠키(세션데이터, 로그인기록)

 

 

 

 

3. 실시간 증거수집 및 분석

 

-local 사용 도구 : WFT, IRCR, e-fense Live Response...

-Batch File 작성 : Psinfo.exe, pslist.exe, Hfind.exe....

 

 

 

 

4. 레지스트리 분석

 

--> 사실 아직까지 풀리지 않은 미스테리....
--> 예를 들어 usb를 꽂은 것은 입력이 되지만 복사해내는 작업들은 기록엔 남지 않아서 문제..

 

RegRipper.exe, RegWorkshop.exe, Regmon.exe

 

 

 

 

 

5. 파일 분석 및 루트킷 탐지

 

 

- Prefetch(Superfetch)파일--->window시작할 때 자동으로 실행되는 파일들을 한군데로 모아서 만든 파일

  pre(미리) + fetch(가지고 오다)
  즉, 프로그램이 실행되면서 필요했던 정보들을 저장해두었다가 나중에 다시 실행될 때 정보 재이용
  빠른 실행효과를 기대


- filemon.exe, Procomon.exe, IceSword.exe, Everything.exe 등

 

 

 

windows + R 키 눌러서 msconfig 입력하면 다음과 같은 팝업창이 뜹니다.

 

 

 

시작프로그램 탭으로 가보시면 컴퓨터를 부팅할 때마다

자동 실행되는 것들도 확인할 수 있습니다.

 

 

 

 

6. 로그파일 분석 : event 로그, web 로그

 

log Parser.exe, Event Log Explorer.exe