한빛미디어㈜ IT COOKBOOK ehanbit.net √ 원리를 알면 IT 가 맛있다 정보 보안 개론과 실습 시스템 해킹과 보안 ehanbit.net
chapter 13. 흔적제거와 침입추적
한빛미디어㈜ IT COOKBOOK ehanbit.net 학습목표 해커 침입 시 사고 대응 절차 이해 흔적 삭제 방법 이해 흔적 추적 이해 삭제한 파일 복구
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 1/2 1. 로그 확인 시스템에 현재 해커가 침투하여 활동하고 있는지 또는 활동을 했었는지 확인 2. 현재 해커가 침투한 경우의 대응 – ① 메모리 덤프 - 현재 해커가 침투해 있는 경우에는 메모리를 덤프한 후 이를 CD-ROM 과 같이 다시 쓰기가 불가능한 백업 장비에 저장 - 가장 강력한 법적 효력을 가진 것은 메모리 덤프이며, 또한 법적 증거물로 적 절성을 위해 위 / 변조가 불가능한 CD-ROM 에 저장 3. 현재 해커가 침투한 경우의 대응 - ② 해커의 접속 차단 접속해 있는 해커의 연결을 끊고, 디스크의 이미지를 다시 CD-ROM 과 같이 수정이 불가능한 미디어에 저장 이때는 일반적으로 두 개의 이미지 CD 를 만듬 하나는 법적 증거물 제출용, 다른 하나는 침입 추적 (Forensic) 용으로 사용 침입 사고 발생 시 대응
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 해킹 침입사고 발생시 대응절차 2/2 4. 현재 해커가 침투한 경우의 대응 - ③ 운영자에게 통보 관리자는 자신의 상위 직급에 있는 관리자 또는 운영자에게 이 사실을 통보 전화와 같이 즉각적인 반응 수용이 가능한 통신 수단을 이용 5. 현재 해커가 침투한 경우의 대응 - ④ 침입자 추적 침입 추적 과정에서 공격자가 삭제한 파일을 복구하고, 이를 증거로서 제출 시스템 분석과 동시에 시스템의 복구 추적 시 확인사항 - 시스템에 설치된 응용 프로그램의 변조 여부 - 시스템 설정 파일의 변조 여부 - 데이터의 삭제 및 변조 여부 - 운영중인 다른 시스템에 대한 침투 여부 확인 침입 사고 발생 시 대응
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 1/6 세션의 생성 및 로깅 정책의 파악 net use \\ "qwer1234" /u:administrator auditpol \\ 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 2/6 원격지 시스템의 로깅 중지 auditpol \\ /disable 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 3/6 원격지 시스템의 로깅 중지 확인 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 4/6 원격지 시스템의 로그 삭제 clearlogs \\ sec 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 5/6 원격지 시스템의 로그 삭제 확인 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 흔적 제거 6/6 원격지 시스템의 로컬 로그 삭제 logkiller 윈도우 시스템에서의 흔적 제거
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서의 침입 추적 ( 로그인 사용자 확인 ) 현재 시스템에 로그인한 사용자 확인 ntlast -i ntlast -f 로그인 시도시 실패 목록 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ PBS(Partition Boot Sector) PBS 는 부팅에 필요한 최소한의 정보를 담으며, 이 부분에 부팅 시 구동되 NTLDR(NT Loader Program) 에 대한 정보가 담긴다. 디스크의 최초 16 섹터가 이 PBS 로 사용된다. ○ MFT(Master File Table) MFT 영역에는 모든 파일과 디렉토리에 대한 파일 이름, 크기, 생성 시간 등 파일 에 대한 데이터 이외의 모든 정보를 담고 있다. 이 MFT 영역은 디스크를 포맷할 때 일정양의 비율로 미리 할당되며, 사용자가 임의로 사용할 수 없는 영역이다. 또한 파일, 디렉토리의 크기에 따라 형식이 약간 다르다. 작은 파일과 디렉토리 ( 약 1500 바이트 미만 ) 는 다음과 같은 형식을 가진다. 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 구조에 대한 이해 ○ 시스템 파일 시스템 파일은 앞서 얘기한 MFT 를 포함하여 파일 복사나 삭제 등의 과정 중에 시스템이 오류를 일으킬 때, 이를 복구하는 데 사용할 디스크 사용에 대한 로그 파일, 디스크 볼륨 이름 등 디스크 자체에 대한 정보들을 담는 파일이 저장된다. ○ 파일 영역 각 파일에 대한 실제 데이터가 저장되는 곳이다. ○ 작은 파일 및 디렉토리 구조 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ NTFS 파일 삭제 및 복구 각 파일의 MFT 에는 파일의 상태에 대한 2 바이트의 flag 값이 존재하는데, 이 값이 ‘ 1 ’ 일 경우에는 파일이 정상적으로 사용되는 것이며, ‘ 0 ’ 이면 삭제된 파일을 나타낸다. 따라서 여러 파일을 삭제하면 각 파일의 flag 값만 모두 ‘ 1 ’ 에서 ‘ 0 ’ 으로 바꾸는 것이 된다. 삭제한 후 파일에 대한 다른 동작을 하지 않 은 상태라면, ‘ 0 ’ 을 ‘ 1 ’ 로 바꾸어주면 파일은 복구되는 것과 마찬가지다. 하지 만 이 MFT 부분을 임의로 수정할 수 없으므로 다른 디스크에 새로운 파일로 복사하는 형식으로 파일을 복구한다. 파일 복구가 모두 이와 같다면 NTFS 에서의 파일 복구는 아주 짧은 시간에 가능할 것이다. 보통 MFT 는 아무리 커도 일반적인 시스템에서 10MB 정도의 크기를 넘지 않기 때문이다. 문제는 파일의 상태에 대한 flag 값이 ‘ 0 ’ 으로 바 뀌면 해당 MFT 는 변경되고 다른 데이터에 의해 덮여 쓰일 수 있다. 이렇게 되면, MFT 는 손상되고 MFT 가 손상된 파일을 복구하기 위해서는 하드 디스 크 전체를 스캔할 수밖에 없다. 또한 파일 영역에서조차 해당 파일 내용이 손 상되면, 정상적인 파일 복구는 가능하지 않다. 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ Userdump 의 설치 ○ 메모리 덤프 규칙 설정 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 메모리 덤프한 결과 확인 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 확인 userdump -p 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 윈도우 시스템에서 프로세스별 덤프 획득하기 ○ 사용자 프로세스 덤프 userdump 228 winlogindump 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 시스템 이미지 획득 ○ Ghost 를 이용한 디스크 이미지 복사 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net ■ 삭제된 파일의 복구 ○ Final Data 를 이용한 삭제된 파일 복구 윈도우 시스템에서의 침입 추적
한빛미디어㈜ IT COOKBOOK ehanbit.net Thank you ehanbit.net