** 침해 대응 **
침해대응 - 침해 분석/대응
포렌식 - 증거 수집/분석
* 데이터 수집
데이터 수집(증거수집)의 원칙:
- Live Data 수집
- 휘발성의 정도(OOV - Order of Volatility)를 고려하여 증거 수집.
증거마다 휘발성의 정도가 다르므로 휘발성이 높은 것부터 낮은 것 순으로 수집
즉 arp캐시는 수분내로 사라지는 데이터임
그러나 어떤 파일은 수시간내에는 존재하는 데이터임
1)네트워크 기반 증거 수집
- IDS 로그 수집
- 라우터 로그 수집
- 방화벽 로그 수집
- 중앙 호스트(syslog)에서 원격 로그 수집
- 기타
2)호스트 기반 증거 수집
- 시스템 시간 수집
- 휘발성 데이터 수집
- 피해 시스템의 모든 시간/날짜 정보 수집
- 출처 미확인 파일수집
- 디스크 백업 수집
3)기타
- 증인으로부터 증언 수집
* 데이터 분석
- 휘발성 데이터 분석
=> 네트워크 접속 조사,
악의적인 코드 식별(백도어, 스니퍼)
- 파일 시간 및 날짜 정보 수집
=> 공격자에 의해 시스템 업로드 파일 식별
=> 업로드 / 다운로드 파일 식별
- 로그 파일 재조사
=> 비인가된 사용자 계정 식별
=> 숨겨진 파일 식별
=> 스케줄 과업 조사/식별
=> 레지스트리 조사
=> 키워드 검사
** 호스트 기반 분석
1) 시스템 날짜와 시간
2) 시스템에서 현재 동작중인 어플리케이션
3) 현재 연결이 성립된 네트워크 상황
4) 현재 알려진 소켓(포트)
5) 열려진 소켓 상에서 동작 또는 대기중인 어플리케이션
6) 네트워크 인터페이스 상태
7) 메모리 정보
8) 현재 열려진 파일
9) 시스템 패상황등
* Live Data 를 수집하는 방법
- Initial Live Response : 대상 시스템이나 피해 시스템의 휘발성 데이터만 획득.
- In-depth Response : 휘발성 + 부가적인 정보 획득
- Full Response : 디스크 복제 포함한 완전 조사
* 침해 분석 기술 - 윈도우
1. 시스템 시간 확인
data /T : 시스템 날짜를 알려주는 명령어
time /T : 시스템 시간을 알려주는 명령어
2. 시스템 정보 확인
- 사고(피해) 시스템의 기본적인 정보 확인.
- sysinternals의 psinfo.exe를 이용하면 OS기본정보, 보안 업데이트 정보,
설치된 소프트웨어 정보 등을 알려줌.
=> http://www.sysinternals.com => Sysinternals Suite
- psinfo -h -s : 핫픽스와 소프트웨어 목록정보
3. 프로세스 정보 확인
- 악성코드나 공격자의 프로그램 찾기 위해.
- 프로세스명, 프로세스 실행 파일 위치, 프로세스 커맨드 라인, 프로세스 실행시간,
프로세스가 참조중인 DLL및 파일등의 정보
- sysinternals의
pslist.exe => 프로세스 리스트,
listdlls.exe => 프로세스가 사용하는 dll출력
handle.exe => 프로세스들이 참조하는 파일 리스트
4. 네트워크 정보확인
- 네트워크 정보, 서비스를 열고 있는 응용프로그램 정보, 서비스에 연결된 세션 정보등
netstat -an
arp -a
nbtstat -c
ipconfig /all
ipconfig /displaydns
http://www.foundstone.com => Free Tools => Detection Tools => fport.exe
랜카드가 무차별 모드로 동작했는지 여부
http://ntsecurity.nu의 promiscdetect.exe
5. 사용자/그룹 확인
net user
net localgroup administrators
6. 공유/로그인 정보
net share
net session
7. 스케줄러
at
8. 시스템 통신
netcat(nc)
9. 시스템 복사
dd(win)
이런 정보를 모아서 배치 스크립트 작성.
파일을 한폴더에 모아서 스크립트 파일로 작성.
실행 : ir_script.bat > %date%.txt => 오늘날짜로 저장
※ @echo. 한칸띄우기
** 디스크 이미지 덤프 뜨기
- 리눅스의 dd(disk dump)를 윈도우용으로 만든 windows dd이용
하드 드라이브
dd if==\\.\physicaldrive0 of=c:\filename bs=4096
dd if==\\.\c: ofc:filename bs=4096
메모리 덤프
dd if=\\.\physicalmemory of=\filename bs=4096
출처 : http://blog.naver.com/qhrjs11
침해대응 - 침해 분석/대응
포렌식 - 증거 수집/분석
* 데이터 수집
데이터 수집(증거수집)의 원칙:
- Live Data 수집
- 휘발성의 정도(OOV - Order of Volatility)를 고려하여 증거 수집.
증거마다 휘발성의 정도가 다르므로 휘발성이 높은 것부터 낮은 것 순으로 수집
즉 arp캐시는 수분내로 사라지는 데이터임
그러나 어떤 파일은 수시간내에는 존재하는 데이터임
1)네트워크 기반 증거 수집
- IDS 로그 수집
- 라우터 로그 수집
- 방화벽 로그 수집
- 중앙 호스트(syslog)에서 원격 로그 수집
- 기타
2)호스트 기반 증거 수집
- 시스템 시간 수집
- 휘발성 데이터 수집
- 피해 시스템의 모든 시간/날짜 정보 수집
- 출처 미확인 파일수집
- 디스크 백업 수집
3)기타
- 증인으로부터 증언 수집
* 데이터 분석
- 휘발성 데이터 분석
=> 네트워크 접속 조사,
악의적인 코드 식별(백도어, 스니퍼)
- 파일 시간 및 날짜 정보 수집
=> 공격자에 의해 시스템 업로드 파일 식별
=> 업로드 / 다운로드 파일 식별
- 로그 파일 재조사
=> 비인가된 사용자 계정 식별
=> 숨겨진 파일 식별
=> 스케줄 과업 조사/식별
=> 레지스트리 조사
=> 키워드 검사
** 호스트 기반 분석
1) 시스템 날짜와 시간
2) 시스템에서 현재 동작중인 어플리케이션
3) 현재 연결이 성립된 네트워크 상황
4) 현재 알려진 소켓(포트)
5) 열려진 소켓 상에서 동작 또는 대기중인 어플리케이션
6) 네트워크 인터페이스 상태
7) 메모리 정보
8) 현재 열려진 파일
9) 시스템 패상황등
* Live Data 를 수집하는 방법
- Initial Live Response : 대상 시스템이나 피해 시스템의 휘발성 데이터만 획득.
- In-depth Response : 휘발성 + 부가적인 정보 획득
- Full Response : 디스크 복제 포함한 완전 조사
* 침해 분석 기술 - 윈도우
1. 시스템 시간 확인
data /T : 시스템 날짜를 알려주는 명령어
time /T : 시스템 시간을 알려주는 명령어
2. 시스템 정보 확인
- 사고(피해) 시스템의 기본적인 정보 확인.
- sysinternals의 psinfo.exe를 이용하면 OS기본정보, 보안 업데이트 정보,
설치된 소프트웨어 정보 등을 알려줌.
=> http://www.sysinternals.com => Sysinternals Suite
- psinfo -h -s : 핫픽스와 소프트웨어 목록정보
3. 프로세스 정보 확인
- 악성코드나 공격자의 프로그램 찾기 위해.
- 프로세스명, 프로세스 실행 파일 위치, 프로세스 커맨드 라인, 프로세스 실행시간,
프로세스가 참조중인 DLL및 파일등의 정보
- sysinternals의
pslist.exe => 프로세스 리스트,
listdlls.exe => 프로세스가 사용하는 dll출력
handle.exe => 프로세스들이 참조하는 파일 리스트
4. 네트워크 정보확인
- 네트워크 정보, 서비스를 열고 있는 응용프로그램 정보, 서비스에 연결된 세션 정보등
netstat -an
arp -a
nbtstat -c
ipconfig /all
ipconfig /displaydns
http://www.foundstone.com => Free Tools => Detection Tools => fport.exe
랜카드가 무차별 모드로 동작했는지 여부
http://ntsecurity.nu의 promiscdetect.exe
5. 사용자/그룹 확인
net user
net localgroup administrators
6. 공유/로그인 정보
net share
net session
7. 스케줄러
at
8. 시스템 통신
netcat(nc)
9. 시스템 복사
dd(win)
이런 정보를 모아서 배치 스크립트 작성.
파일을 한폴더에 모아서 스크립트 파일로 작성.
실행 : ir_script.bat > %date%.txt => 오늘날짜로 저장
※ @echo. 한칸띄우기
** 디스크 이미지 덤프 뜨기
- 리눅스의 dd(disk dump)를 윈도우용으로 만든 windows dd이용
하드 드라이브
dd if==\\.\physicaldrive0 of=c:\filename bs=4096
dd if==\\.\c: ofc:filename bs=4096
메모리 덤프
dd if=\\.\physicalmemory of=\filename bs=4096
출처 : http://blog.naver.com/qhrjs11
728x90
댓글