Post

침해사고분석 이론 1

Posted
By many
8 min read

침해사고분석

개념

  • 침해사고는 시스템, 네트워크, 데이터가 악의적인 행위로 인해 손상되거나 위협받는 사건을 의미
  • 침해사고 분석은 사고 원인, 공격 경로, 피해 범위를 파악하고 대응 방안을 마련하는 과정

유형

  • 악성코드: 랜섬웨어, 바이러스 등 악성 소프트웨어로 인한 사고
  • DoS/DDoS 공격: 서비스 거부를 목적으로 한 공격
  • 웹 해킹: SQL Injection, XSS 등 웹 애플리케이션의 취약점을 악용한 공격
  • 피싱: 가짜 웹사이트나 이메일을 통해 개인정보를 탈취하는 행위
  • 내부자 위협: 조직 내부에서 발생하는 의도적 또는 비의도적 보안 위협

분석절차

  1. 준비
    • 분석 환경 구축, 도구 준비, 관련 정보 수집
  2. 탐지
    • 침해 흔적 탐지 (로그 분석, 시스템 모니터링 등)
  3. 분석
    • 침해 원인, 공격 경로, 피해 범위 등을 파악
  4. 대응
    • 침해 확산 방지, 시스템 복구, 예방 조치
  5. 복구
    • 정상적인 시스템 운영 상태로 복구
  6. 보고서
    • 분석 결과 및 대응 내용을 문서화

윈도우 이벤트 로그

이벤트 로그 구조

  • 이벤트 ID, 발생 시간, 이벤트 원본, 이벤트 유형, 사용자 계정, 컴퓨터 이름 등으로 구성

이벤트 뷰어

  • 윈도우에서 기본 제공하는 로그 확인 도구 (eventvwr.msc 명령어 사용)

이벤트 로그 저장 위치

  • C:\Windows\System32\winevt\Logs

이벤트 로그 종류

  1. 시스템 로그
    • 시스템 시작/종료, 드라이버 로딩, 하드웨어 오류 등 기록
  2. 보안 로그
    • 로그인/로그오프, 계정 생성/삭제, 권한 변경 등 보안 관련 이벤트 기록
  3. 응용 프로그램 로그
    • 응용 프로그램 실행, 오류 발생 등 응용 프로그램 이벤트 기록

MAC (Modified, Accessed, Created Time)

개념

  • MTime (Modified Time): 파일 내용이 마지막으로 수정된 시간
  • ATime (Accessed Time): 파일이 마지막으로 접근된 시간
  • CTime (Created Time): 파일이 생성된 시간

활용

  1. 악성코드 실행 시점 파악: 파일의 ATime을 확인하여 실행 시점을 추정
  2. 파일 변경 시점 파악: 시스템 파일 MTime 변경 여부를 확인
  3. 데이터 유출 시점 분석: 중요 데이터의 ATime 또는 MTime을 통해 유출 시점 추정
  4. 침해자 활동 추적: CTime, MTime, ATime 분석으로 활동 경로 및 시간 흐름 파악

유의 사항

  • 시간 동기화: 분석 시스템과 대상 시스템의 시간 동기화 필요
  • 파일 시스템: NTFS 파일 시스템이 보다 정확한 MAC 정보를 기록
  • 조작 가능성: 침해자가 MAC 시간을 조작할 수 있으므로 단정적인 결론은 피해야 함

메타데이터

개념

  • 데이터에 관한 데이터로 파일, 시스템, 운영체제 정보 등을 포함
  • 침해 활동, 시스템 변경, 데이터 유출 등의 단서 제공

종류

  • 파일 시스템 메타데이터: 파일 이름, 크기, 생성/수정/접근 시간 등
  • 어플리케이션 메타데이터: 문서 작성자, 수정 시간, 이미지 GPS 정보 등
  • 운영체제 메타데이터: 레지스트리, 이벤트 로그, 네트워크 정보 등

중요성

  • 침해자 활동 추적, 시스템 변경 사항 파악, 데이터 유출 흔적 분석
  • 분석 결과를 바탕으로 침해 사고 재구성 가능

분석 방법

  1. 수동 분석: 탐색기, 레지스트리 편집기, 이벤트 뷰어 사용
  2. 도구 활용: FTK Imager, EnCase, Volatility 등
  3. 스크립트 작성: Python, PowerShell로 자동화된 분석 스크립트 작성

분석 내용

  • 파일 시스템 메타데이터 분석: 파일의 생성, 수정, 접근 시간 확인
  • 레지스트리 메타데이터 분석: 시스템 설정 및 사용자 활동 파악
  • 이벤트 로그 메타데이터 분석: 시스템 이벤트와 보안 이벤트 기록 확인
  • 프리패치 메타데이터 분석: 실행된 프로그램 및 관련 파일 정보 분석
  • 썸네일 메타데이터 분석: 이미지 파일의 이전 상태나 위치 정보 파악

윈도우 레지스트리

개념

  • 윈도우 운영체제의 설정, 사용자 프로필, 어플리케이션 정보를 저장하는 계층형 데이터베이스
  • 트리 구조로 구성되며 최상위에 루트 키(Root Key) 존재
  • 각 루트 키 아래 하위 키(Subkey)와 값(Value)이 계층적으로 구성됨

주요 루트 키

  • HKEY_CLASSES_ROOT (HKCR)
    • 파일 연결, COM 객체 정보 등 저장
  • HKEY_CURRENT_USER (HKCU)
    • 현재 로그인한 사용자의 프로필 정보와 설정 저장
  • HKEY_LOCAL_MACHINE (HKLM)
    • 컴퓨터 하드웨어, 소프트웨어, 시스템 설정 저장
    • 주요 경로:
      • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
        • 사용자 로그온 및 셀 정보 저장
        • 침해자가 백도어 설치를 위해 변경 가능
      • HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
        • 시스템 시작 시 자동 실행되는 항목 저장
      • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        • 사용자 로그온 시 자동 실행되는 프로그램 정보 저장
      • HKLM\SYSTEM\CurrentControlSet\Services
        • 시스템 서비스 정보 저장
      • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
        • 설치된 프로그램 정보 저장
  • HKEY_USERS (HKU)
    • 시스템 모든 사용자 계정의 프로필 정보 저장
  • HKEY_CURRENT_CONFIG (HKCC)
    • 현재 하드웨어 프로필 정보 저장

분석 도구

  • RegEdit
    • 윈도우 기본 레지스트리 편집기로 키와 값을 조회 및 수정 가능
  • Process Monitor
    • 실시간으로 레지스트리, 파일, 네트워크 활동 모니터링 및 분석
  • Autoruns
    • 시스템 시작 시 자동 실행되는 프로그램 및 서비스 확인 및 관리
  • Registry Explorer
    • 레지스트리 하이브 파일 분석, 검색, 필터링 및 비교 기능 제공
정보보안, 침해사고분석
IT Security