침해사고분석 이론 4

Linux 침해사고 분석

침해사고 분석 도구

• 로그 분석 도구
  • grep, sed, awk, tail, less: 로그 파일에서 특정 정보 검색 및 분석
• 시스템 모니터링 도구
  • top, htop, vmstat, iostat: 시스템 자원 사용량 모니터링
• 네트워크 분석 도구
  • tcpdump, Wireshark: 네트워크 패킷 캡처 및 분석
  • nmap: 포트 스캐닝 및 네트워크 점검
• 메모리 분석 도구
  • Volatility, Rekall: 메모리 덤프 분석
• 악성 코드 분석 도구
  • strings, md5sum, sha256sum: 파일 해시 및 문자열 분석
  • VirusTotal: 파일 악성 여부 탐지

시스템 로그 분석

1. 로그인 기록
   • /var/log/secure (또는 /var/log/auth.log): 로그인 시도 기록 확인
   • 비정상적인 IP나 실패한 로그인 시도 탐지
2. 시스템 로그
   • /var/log/messages: 커널 메시지, 시스템 오류, 하드웨어 문제 확인
3. 애플리케이션 로그
   • /var/log/httpd/, /var/log/mysql/ 등에서 비정상적인 활동 확인
4. 감사 로그
   • /var/log/audit/audit.log: 파일 접근, 명령어 실행 등 상세 기록 확인
5. Cron Jobs
   • /var/log/cron: 예약된 작업의 실행 기록 확인

네트워크 연결 분석

• netstat -antup: 현재 열려 있는 포트와 연결 상태 확인
• lsof -i: 특정 포트를 사용하는 프로세스 확인
• tcpdump/Wireshark: 네트워크 트래픽 캡처 및 분석

프로세스 메모리 분석

1. ps aux
   • 실행 중인 모든 프로세스를 확인하고 비정상적인 프로세스 탐지
2. top/htop
   • 시스템 자원 사용량 실시간 모니터링
3. /proc 디렉토리 분석
   • /proc 디렉토리를 통해 실행 중인 프로세스의 메모리 맵, 열린 파일, 환경 변수 확인
4. 메모리 덤프 생성
   • gcore 또는 dd 명령으로 메모리 덤프 생성
   • Volatility와 같은 도구로 분석

파일 시스템 분석

1. 변경된 파일
   • find / -mtime -1: 최근 1일 이내 변경된 파일 확인
2. 숨김 파일
   • ls -la: 숨김 파일 탐색
3. 루트킷 탐지
   • chkrootkit, rkhunter: 루트킷 탐지
4. 파일 무결성 검사
   • rpm -Va: 설치된 패키지의 파일 무결성 검사
5. SetUID/SetGID 파일
   • find / -perm -4000 -o -perm -2000 -type f 2>/dev/null: 권한 상승 공격 흔적 탐지

사용자 계정 분석

1. /etc/passwd, /etc/shadow: 사용자 계정 정보 및 비정상적인 계정 확인
2. /etc/sudoers: sudo 권한이 부여된 사용자 검토
3. last, lastlog
   • 사용자 로그인 기록 분석 및 비정상 접근 탐지

네트워크 설정 점검

1. /etc/hosts: 악의적인 항목 추가 여부 확인
2. firewalld/iptables: 방화벽 규칙 검토
3. ifconfig/ip addr: 네트워크 인터페이스 설정 확인
   • 무차별 모드(promiscuous mode) 활성화 여부 점검

스케줄링 작업 분석

1. crontab -l
   • 사용자별 crontab에서 의심스러운 작업 탐지
2. /etc/crontab, /etc/cron.* 디렉토리
   • 시스템 전체 cron 작업 확인
3. atq
   • 예약된 작업 확인