Theory/Forensic

실시간 대응

D4tai1 2019. 4. 27.

1. 실시간 대응
1) 실시간 대응의 중요성
▶ 전자상거래는 시스템을 다운시키면 금전적 손실 발생
▶ 하드디스크 이미징 시 많은 시간이 소요
▶ 시스템 동작 상태에서 증거 수집이 필요할 때도 있음
+ ex) 프로그램이 메모리에만 존재, 임시저장 파일
▶ 클라우드 시스템 전체를 이미징 불가


2) 사건 유형에 따른 수집내용
▶ 해킹 침해 관련 - 메모리 조사
+ 프로세스 관련, 메모리, 시스템파일, 네트워크접속정보, 원격서버, 도청


▶ 지적 재산 침해 관련 - 파일 조사
+ 해킹과 무관, 확장자 변경, 시간, 사용흔적, 숨김파일, 삭제된 파일, 설치정보, 유출경로


▶ 인터넷 사용 관련 - 접속기록 및 개인정보


3) 로카르 법칙( Locard's )
▶ 접촉하는 두 개체는 서로의 흔적을 주고 받는다.


▶ 동작 중인 시스템을 다루면 해당 시스템에 변화
+ 웹 접속, 프로세스 활동, 데이터의 저장/삭제, 증거수집 프로그램 실행


▶ 조사자, 초기대응자 염두해야 함


4) 휘발성 Vs 비휘발성
 ① 휘발성 데이터 - 초기분석, 시스템명령어, tool
▶ FDD, USB 장치로 수집
▶ 현재 시스템 날짜 및 시간
▶ 현재 실행되는 프로세스 정보
▶ 현재 시스템에 접속한 사람
▶ 현재 열려있는 포트번호
▶ 현재 실행되고 있는 프로그램
▶ 메모리에 남아있는 최근 접속기록


 ② 비휘발성 데이터 - 상세분석가능
▶ 시스템 시각을 확인, 사진으로 남김
▶ 컴퓨터 시스템 데이터 변조 방지
▶ 디스크복제기 이용
▶ Encase, Linux의 dd 및 nc 명령 이용
▶ 레지스트리, 시간, 인터넷관련정보, 이메일, 로그


5) Order of Volatile (휘발성과 비휘발성 전체순위)
▶ CPU : Register, cache
▶ Memory : Routing table, arp cache, process table 등
▶ Temporary file systems : 임시파일 전원 끌 때 사라짐
▶ Disk : 일반파일
▶ 주변장비 : Remote logging and monitoring data
▶ 네트워크 : Physical configuration, network topology
▶ Archival media


6) 실시간 증거수집 방법
▶ Local Response Methodology - USB, HDD, CD 저장
+ 시스템 콘솔로 접속, TOOL(IRCR, WFT 등)


▶ Remote Response Methodology - 네트워크로 전송
+ TOOL(psexec, WMI, ProDiscover 등)
+ 원격에서 시스템 접속하여 정보수집(시스템 많으면 유리)


▶ Hybrid Response Methodology - netcat, cryptcat
+ 시스템에서 정보수집, 원격에 있는 서버로 전송


7) 증거수집 절차
 ① 전원 켜진 시스템
▶ 실행 프로세스 조사
▶ RAM 등의 휘발성메모리 조사
▶ 외부[OFF-SITE]저장소와 연결된지 확인
▶ 실행 중인 가상머신 절전


 ② 전원 꺼진 시스템
▶ 물리적인 네트워크 연결 끊기
▶ 하드디스크 분리
▶ BIOS 모드로 진입 후 시간 확인


8) 실시간 증거 수집 및 분석
▶ 현재시간(time /t),  현재날짜(date /t)


▶ 사용자관련 정보
  + 시스템에 등록된 사용자와 실제 사용자를 파악
  + set user = 현재 로그인한 사용자정보
  + net user = 알지 못하는 계정에 대해서 상세검색
  + net sessions = 외부 접속 사용자 목록


▶ 공유폴더
  + net share [공유이름] = 네트워크공유자원 정보


▶ 시스템정보
  + 해킹 등 침해가 발생한 시스템을 분석할 경우
   Hotfix (보안패치 한 것)은 취약성의 범위를 한정
  + OS 및 서비스팩 버전이 중요한 이유?
   -> 버전에 따라 메모리 구조가 다르기 때문


▶ 네트워크정보
  + ipconfig /all = 로컬 네트워크 정보
  + netstat -r = 라우팅 테이블 정보
  + netstat = 현재 사용중인 TCP/UDP 정보


▶ 프로세스정보
  + ADS[파일 안에 또 다른 파일]의 사용
  + 의심프로세스 관련파일 식별
  + 무작위로 구성된 파일명
  + 프로그램 버전[유지보수 용도] 사용부재
  + 시스템 프로세스와 유사한 프로세스 명
  + 비정상적인 프로세스 파일 PATH
  + net start = 현재 실행되고 있는 서비스 정보수집
  + listdlls 와 handle 의 차이
  + listdlls = 현재 프로세스가 사용 중인 dll 목록
  + handle = 현재 프로세스가 사용 중인 핸들 목록


▶ 파일정보
  + 이미징을 할 수 없거나 시간이 오래 걸릴 경우
  + 실시간 생성 및 삭제되어 파일 누락 및 복구 불가 시
  + 클라우드 환경
  + 클립보드 내용 변경되는 ctrl+c, ctrl+x 사용 금지
  + 현재 명령창에서 이전에 입력한 명령어 리스트 출력
  + 현재 명령창이 종료되면 메모리에서 삭제됨


9) 휘발성 데이터 수집 시 주의사항
▶ 휘발성 데이터들의 수명은 특성에 의해 다름
▶ 우선순위 고려해서 증거수집
▶ netstat, LISTENING/ESTABLISHED/CLOSE_WAIT 고려
▶ 클립보드 삭제되지 않도록 ctrl+x, ctrl+c 금지


'Theory > Forensic' 카테고리의 다른 글

32bit 머신의 주소체계  (0) 2019.04.27
디지털포렌식  (0) 2019.04.27
레지스트리 분석  (0) 2019.01.19
메모리 수집 분석  (0) 2019.01.19
사이버포렌식 절차  (0) 2018.09.16

댓글