겉바속촉
[보안] 시스템 로그분석 3 본문
지난 포스팅 참고
2021/02/04 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 시스템 로그 분석 1
[보안] 시스템 로그 분석 1
시스템 로그 분석 감사로그분석 시스템 보안뿐만 아니라 프로세스 및 규정 준수를 위한 보안의 중요 부분 로그 검사는 시스템이나 응용 프로그램에서 발생하는 문제를 찾고 문제를 해결하기 위
2-juhyun-2.tistory.com
2021/02/04 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 시스템 로그 분석 2 (feat. Powershell)
[보안] 시스템 로그 분석 2 (feat. Powershell)
Windows PowerShell 관리자를 위해 특별히 설계된 windows 명령 쉘 -> cmd보다 많은 기능 보유, 시스템 자동화 관리에도 사용 -> 자동화 관리는 bash 또는 powershell을 이용 로그 검색 시 windows 이벤트 뷰..
2-juhyun-2.tistory.com
파일 Mac Time
- 윈도우 파일 MAC Time 분석
| 파일 생성 | [만든 날짜], [수정 날짜], [액세스한 날짜] 모두 일치 |
| 파일 이름 변경 | [액세스한 날짜]만 변경 |
| 파일 내용 수정 | [수정한 날짜], [액세스한 날짜] 변경 |
| 파일 복사 | [만든 날짜], [액세스한 날짜] 변경 |
| 파일 이동 | [액세스한 날짜]만 변경 |
| 파일 다운로드(브라우저, FTP 등) | [만든 날짜], [수정한 날짜], [액세스한 날짜] 변경 |
| 메신저에 의한 파일생성 (MSN) | [만든 날짜], [수정한 날짜], [액세스한 날짜] 변경 |
| 파일 압축 해제 | [만든 날짜], [액세스한 날짜] 변경 |
레지스트리
모든 참조 데이터들은 거의 들어있습니다.
어떠한 작업을 했다면 레지스트리에 모두 저장되어 있을 것입니다.
정의
- 운영체제 내에서 작동하는 모든 h/w, s/w, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스
- 최근에 열었거나 실행, 수정한 문서에 대한 흔적
- 윈도우 서버에 비인가자에 의해 생성된 불법 계정 생성 유무 확인
- 특정 프로그램 설치 흔적
- 자동 시작 프로그램에 대한 흔적
- 인터넷 익스플로러, 명령창에서 입력된 url 리스트, 명령어 등에 대한 흔적
- 네트워크 연결 목록에 대한 흔적
- 바이러스, 백도어 등 악성 프로그램에 대한 감염 흔적
증거 수집 및 분석
- 윈도우 레지스트리 분석
| HKEY_CURRENT_USER | - 현재 로그인 중인 사용자들에 대한 등록정보(사용자 배경화면, 디스플레이 설정이나 단축아이콘 정보 등), 응용 프로그램의 우선순위, 보안접근 허용 여부 |
| HKEY_LOCAL_MACHINE | - 하드웨어 구성 초기화파일, 제어판과 밀접 - 로그인은 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일 - HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키 값과 동일한 값 가짐, 두 곳이 연동되어 생성이나 삭제가 동시 발생 |
| HKEY_CLASSES_ROOT | - 파일 확장자 정보, 각 파일과 프로그램간 연결 정보, 마우스 오른쪽 등록정보.. - 모든 형식의 파일 확장자가 sub key 형태로 구성 |
| HKEY_USERS | - 이전 사용자 초기화 파일 보관 - 두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선 |
| HKEY_CURRENT_CONFIG | - 현재 사용중인 윈도우 디스플레이 정보와 프린터 관련 정보 |
- 분석도구
: Regmon.exe/ Procmon.exe/ RegRipper.exe/ RegWorkshop.exe
Process Monitor --> 쓰기 어렵습니다. (계속 로그인이 되서)
특정 프로세스 사용시 필터링을 걸고 파일에 대한 입출력, 레지스터리 키 분석 등이 가능해서
동적 분석이 더 자세하게 가능합니다. 상세한 정보를 남길 수 있쥬!!
- 백신 프로그램 설치 유무 확인
- 이벤트 로그 분석
: 공격자 행동과 관련된 것만 보기!!
WINDOW 2003버전 (윈도우는 버전이 달라질떄마다 ID가 바뀝니다ㅠ)
| ID | 설명 |
| 516 | 저장공간 부족으로 일부 보안 이벤트 메시지 소실 |
| 517 | 보안 로그 삭제 |
| 520 | 시스템 시간 변경 |
| 528 | 성공적인 로그인 |
| 529 | 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도 |
| 531 | 사용이 금지된 계정을 이용한 로그인 시도 |
| 538 | 로그오프 |
| 576 | 권한의 할당 |
| 624 | 사용자의 계정 만듦 |
공격자의 행동은 다음 4가지 중 무조건 한가지 이상은 하게 됩니다:)
WEB SHELL에 올리면 일단 계정 확인하고
1. 윈도우 방화벽 내리기
2. 원격 데스크톱 활성화
3. USER 생성
4. 그룹 역할 할당시킴
WINDOW 10 은 한명만 접속 가능
WINDOW 10 서버는 동시에 5명 접속 가능
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
| [보안] 보안장비 로그 분석 (0) | 2021.02.08 |
|---|---|
| [보안] 시스템 로그 분석 4 (feat. Linux) (0) | 2021.02.07 |
| [보안] 자동화 도구 (0) | 2021.02.05 |
| [보안] Sysinternals, Nirsoft 설치 후 사용해보기 (0) | 2021.02.05 |
| [보안] 시스템 로그 분석 2 (feat. Powershell) (0) | 2021.02.04 |
