침해사고분석 실습 4

Linux 침해사고 분석

로그 분석 실습

1. 로그인 기록 확인
   • 명령어: grep "Failed password" /var/log/auth.log | tail -n 10
   • 목표: 실패한 로그인 시도 및 의심스러운 IP 탐지
2. 시스템 로그 확인
   • 명령어: tail -n 20 /var/log/messages
   • 목표: 최근 시스템 오류 및 경고 탐지
3. 애플리케이션 로그 분석
   • 예시: Apache 로그 분석
     • 명령어: grep "404" /var/log/httpd/access_log
   • 목표: 비정상적인 요청 탐지

네트워크 연결 분석 실습

1. 현재 네트워크 연결 확인
   • 명령어: netstat -antup
   • 목표: 열려 있는 포트와 연결 상태 점검
2. 의심스러운 프로세스 탐지
   • 명령어: lsof -i :80
   • 목표: 특정 포트(예: 80번)를 사용하는 프로세스 확인
3. 네트워크 트래픽 캡처
   • 명령어: tcpdump -i eth0 -c 100 -w traffic.pcap
   • 목표: 네트워크 트래픽 캡처 후 Wireshark로 분석

프로세스 및 메모리 분석 실습

1. 프로세스 상태 확인
   • 명령어: ps aux | grep suspicious_process
   • 목표: 비정상적인 프로세스 탐지
2. 실시간 자원 사용량 분석
   • 명령어: top 또는 htop
   • 목표: CPU/메모리 과다 사용 프로세스 확인
3. 메모리 덤프 생성 및 분석
   • 명령어: gcore <PID> 또는 dd if=/dev/mem of=memory_dump.img
   • 목표: 덤프 파일을 Volatility로 분석하여 악성코드 탐지

파일 시스템 분석 실습

1. 변경된 파일 탐지
   • 명령어: find / -mtime -1
   • 목표: 최근 변경된 파일 확인 및 분석
2. 루트킷 탐지
   • 명령어: chkrootkit
   • 목표: 시스템에 설치된 루트킷 확인
3. SetUID 파일 탐지
   • 명령어: find / -perm -4000 -type f
   • 목표: 권한 상승 공격 가능성 확인

사용자 계정 분석 실습

1. 비정상 계정 확인
   • 파일 확인: /etc/passwd, /etc/shadow
   • 목표: 예상치 못한 사용자 계정 탐지
2. sudo 권한 사용자 확인
   • 명령어: grep 'sudo' /etc/group
   • 목표: sudo 권한을 가진 사용자를 확인
3. 로그인 기록 확인
   • 명령어: last
   • 목표: 비정상적인 로그인 활동 탐지

네트워크 설정 점검 실습

1. /etc/hosts 파일 확인
   • 명령어: cat /etc/hosts
   • 목표: 악성 항목 추가 여부 확인
2. 방화벽 규칙 확인
   • 명령어: iptables -L 또는 firewall-cmd --list-all
   • 목표: 비정상적인 방화벽 규칙 탐지
3. 네트워크 인터페이스 점검
   • 명령어: ip link show
   • 목표: 무차별 모드 활성화 여부 확인

스케줄링 작업 분석 실습

1. 사용자별 crontab 확인
   • 명령어: crontab -l
   • 목표: 주기적으로 실행되는 의심스러운 작업 탐지
2. 시스템 crontab 확인
   • 명령어: cat /etc/crontab
   • 목표: 시스템 전체 예약 작업 점검
3. at 명령으로 예약 작업 확인
   • 명령어: atq
   • 목표: 예약된 작업 스케줄 점검