Post

침해사고분석 이론 2

Posted
By many
7 min read

LiveResponse Collector

  • 다운로드 후 압축해제
  • 윈도우 폴더에서 Windows LiveResponse Collector 관리자 권한으로 실행

휘발성 데이터 & 비휘발성 데이터

휘발성 데이터

  • RAM과 같은 메모리에 저장
  • 시스템 실행 중에만 존재하며, 전원이 꺼지면 소멸
  • 침해사고 당시 시스템 상태 파악에 중요한 정보 제공

예시

  • 실행 중인 프로세스 정보: 실행 중인 프로그램, 프로세스 ID, 메모리 사용량
  • 네트워크 연결 정보: 열려 있는 포트, 연결된 IP 주소, 네트워크 트래픽
  • 로그인 사용자 정보: 현재 로그인한 사용자 계정, 로그인 시간
  • 시스템 정보: CPU, 메모리, 디스크 사용량
  • 캐시 데이터: 웹 브라우저 캐시, DNS 캐시

비휘발성 데이터

  • 하드디스크, SSD 등 저장 장치에 저장
  • 시스템 전원이 꺼져도 유지되며 침해사고의 증거로 활용 가능

예시

  • 파일 시스템: 파일, 폴더, 메타데이터
  • 레지스트리: 시스템 설정, 사용자 정보, 설치된 프로그램 정보
  • 로그 파일: 이벤트 로그, 웹 서버 로그, 애플리케이션 로그
  • 휴지통: 삭제된 파일

휘발성 데이터 vs 비휘발성 데이터

구분휘발성 데이터비휘발성 데이터
저장 위치RAM하드디스크, SSD
지속성전원이 꺼지면 사라짐전원이 꺼져도 유지됨
수집 시점시스템 실행 중시스템 종료 후
분석 도구Volatility, FTK ImagerAutopsy, FTK Imager
분석 정보시스템의 현재 상태과거 활동 기록

활용

  • 휘발성 데이터 분석: 악성코드 실행 여부 확인
  • 비휘발성 데이터 분석: 악성코드 파일 탐지 및 레지스트리 변경 확인
  • 종합 분석: 침해사고의 원인, 공격 경로, 피해 범위 파악

NirSoft 도구

개념

  • 윈도우 시스템에서 활용 가능한 무료 유틸리티 모음
  • 시스템 정보 확인, 네트워크 분석, 암호 복구 등 다양한 목적으로 사용
  • 200개 이상의 휴대용 유틸리티 포함, 설치 과정 불필요

특징

  • 무료 제공: 비용 없이 사용 가능
  • 휴대성: 실행 파일 하나로 구성
  • 다양한 기능: 시스템 관리, 네트워크 분석, 데이터 복구 등 지원
  • 간단한 사용법: 직관적인 인터페이스
  • 작은 용량: 최소한의 자원 사용

활용 분야

  • 시스템 정보 수집: 하드웨어, 소프트웨어 정보 및 사용자 계정 데이터 확보
  • 네트워크 분석: 네트워크 연결 정보, 열린 포트, 트래픽 분석
  • 악성코드 분석: 시스템 영향 및 악성코드 행위 파악
  • 데이터 복구: 삭제된 파일, 암호, 인터넷 사용 기록 복구

유의사항

  • 일부 도구는 백신에서 악성코드로 오탐 가능
  • 사용 전 백신 예외 설정 필요
  • 관리자 권한으로 실행
  • 분석 결과는 객관적 데이터 기반으로 해석

Live Respose Collection

개념

  • 휘발성 데이터를 수집하여 침해사고 분석에 사용하는 도구
  • 데이터 손실 방지 및 사고 초기 대응에 유용
  • 휘발성 데이터: 실행 중인 프로세스, 네트워크 연결, 메모리 내용 등 포함

필요성

  • 증거 확보: 침해사고 분석의 핵심 데이터 수집
  • 시스템 가용성 유지: 최소한의 중단으로 데이터 확보
  • 신속한 대응: 사고 초기 골든 타임 확보

활용

  • 프로세스 정보: 실행 중인 프로세스 상태
  • 네트워크 정보: 연결 상태 및 활동
  • 메모리 정보: 메모리 덤프 분석
  • 레지스트리 정보: 설정 변경 및 데이터 확인
  • 파일 시스템 정보: 파일 및 폴더 상태

유의사항

  • 시스템 영향 최소화: 대상 시스템 변경 방지
  • 데이터 무결성 유지: 수집 데이터의 신뢰성 확보
  • 법적/윤리적 문제 고려: 데이터 수집 시 관련 규정 준수

절차

  1. 준비 단계
    • 도구 준비: 필요한 LiveResponse Collection 도구 확보
    • 대상 시스템 정보 확인: 운영체제 및 시스템 아키텍처 파악
    • 네트워크 연결 환경 구축
  2. 수집 단계
    • 메모리 덤프: RAM 상태 저장
    • 프로세스 정보 수집
    • 네트워크 연결 정보 수집
    • 파일 시스템 정보 수집
    • 레지스트리 정보 및 이벤트 로그 수집
  3. 분석 단계
    • 휘발성 데이터 분석: 악성코드, 공격자 흔적 파악
    • 도구 활용: Volatility, Rekall 등으로 메모리 분석
    • 종합 분석: 네트워크, 프로세스, 파일 정보를 연계하여 분석
정보보안, 침해사고분석
IT Security