시스템 로그 분석 20111659 유재성.

Slides:



Advertisements
Similar presentations
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
Advertisements

Part 04-1 Windows 2000 Server Windows 2000 Server 설치 DHCP 디스크 관리 DNS
밥 팀 명 : TTL 조 팀 원 : 김정용 (PM) 서종규 노재현 엄성욱.
Format String Attack! 포맷 스트링 공격 경일대학교 사이버보안학과 학년 남주호.
Windows Function Windows XP Windows 7 Windows 8 FREE 조장 : 김동환 조원 : 전태우

목차 Contents 무선인터넷용 비밀번호 설정방법 Windows 7 Windows 8 Windows XP MAC OS.
정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
10 윈도우 시스템 보안 설정(윈도우 서버 2008).
컴퓨터프로그래밍 1주차실습자료 Visual Studio 2005 사용법 익히기.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
코크파트너 설치 가이드 Window 7.
㈜디아이씨 SSLVPN 협력사 접속방법 2017년 4월.
Windows Server 장. Windows Server 2008 개요.
Windows Server 장. 사고를 대비한 데이터 백업.
홍익대학교 메일 시스템 구축 Outlook 설정 매뉴얼.
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
SAP GUI 설치 가이드 프로세스 혁신 TFT.
FTP 프로그램 채계화 박재은 박수민.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
뇌를 자극하는 Windows Server 장. Windows Server 2008 개요.
01. 그룹 정책의 개요 보안 및 사용자의 컴퓨터 사용 환경을 설정
01. 터미널 서비스의 개요 터미널 서비스는 네트워크의 워크스테이션을 서버 컴퓨터의 터미널로 사용할 수 있도록 해 주는 서비스
CHAP 12. 리소스와 보안.
Neo-plus2 서버 및 클라이언트 설정 방법
Chapter 03 Whois와 DNS 조사.
㈜시스원이 제공하는 시스템 관리 통합 솔루션 SysmanagerOne Agent설치 안내서
설치 환경 □ 운영체제 버전 : CentOS Linux 7.2 □ 리눅스 커널 버전 :
홀인원2.0 설치 메뉴얼.
WZC 무선 연결 방법 (Windows XP Ver.).
뇌를 자극하는 Windows Server 2012 R2
LIT-GenAppSetup ※ Texting+ 클라이언트 프로그램은 제품 인증을 받은 제품입니다.
2 보안 1 도구 윈도우 XP > 온밀크 프로그램 설치 장애 (보안 설정) / 품목추가 깨질 때 장애증상
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
Linux/UNIX Programming
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
Day-27(Tue_10.16) 파일 서비스 설정 AD 가 설치된 환경에서 DHCP 설치 할 경우 권한 자격을 주어야함.
Nessus 4 설치 정보보호응용 조용준.
PC에 설치된 엔드포인트 클라이언트 프로그램을 클릭하여 프로그램 상자를 엽니다
8장 쿠키와 세션 한빛미디어(주).
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
※ 인터넷 옵션 조치 방법 ※ ★ 신뢰사이트 등록 (1) ★ 우리들을 신뢰해주세요^^* 방법이 복잡해 보일지 모르지만
※ 편리한 사이버 연수원 사용을 위한 인터넷 최적화 안내 ※
법령안편집기 연결버튼 표시가 안 될 경우 정부입법지원센터( 입안 및 심사안을 진행시
14강. 세션 세션이란? 세션 문법 Lecturer Kim Myoung-Ho Nickname 블스
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
Teaming pms.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
“웹과 모바일을 연동한 평가 간편 시스템” vol
디버깅 관련 옵션 실습해보기 발표 : 2008년 5월 19일 2분반 정 훈 승
STS 에서 웹 서버 설치 방법.
OpenCV 설정 2.21 만든이 딩딩.
2장. 솔라리스10 설치. 2장. 솔라리스10 설치 Solaris 3. 솔라리스10 설치 후 설정하기 1. 텔넷 ( telnet ) 서비스 사용 SSH ( Secure Shell ) 서비스 사용 FTP ( File Transfer Protocol )서비스 사용 시스템.
WZC 무선 연결 방법 (Windows 7 Ver.).
1. 신규 연세메일(Gmail)에 로그인 합니다. ( yonsei. ac. kr )
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
JSP Programming with a Workbook
세션에 대해 알아보고 HttpSession 에 대해 이해한다 세션 관리에 사용되는 요소들을 살펴본다
시스템 인터페이스 Lab1 X-window 및 명령어 사용.
Homework #3 (1/3) 다음을 수행한 후, 결과 파일들을 출력하여 제출한다.
1. Vista Wireless LAN 설정하기
과제 4: Thread (5월 9일까지) 4장 연습문제 풀이
채팅 및 파일전송 프로그램 권 경 곤 김 창 년.
Installation Guide.
운영체제보안 SELinux 실습 박민재
Presentation transcript:

시스템 로그 분석 20111659 유재성

윈도우 시스템 로그분석 -로그란? - 세션관리 - 로그 정책의 설정 -개체 엑세스 감사 -계정관리 감사 -계정 로그온 이벤트 감사 - 권한 사용감사 -디렉터리 서비스 엑세스 감사 -로그온 이벤트감사 -정책 변경 감사 -프로세스 추적 감사 -시스템 이벤트 감사

로그란? 프로그램의 동작 상황 등의 경과를 기록하는 운영기록으로 시스템의 모든 기록 을 담고 있는 데이터라고 할 수 있다. 이 데이터에는 성능,오류,경고 및 운영 정 보 등의 중요한 정보가 기록된다.

로그 관리의 필요성 컴퓨터의 모든 일련의 작업은 로그라는 정보로 저장되게 되는데, 로그 를 활용하면 해킹의 흔적으로 찾거나, 해킹에 이용된 공격기법을 로그 분석을 통해 찾을 수 있다면 시스템의 취약점을 제거하는데 사용할 수 있고, 공격에 대한 근원지를 찾을 수 있다면 공격으로 인한 자산의 손 실에 대해 공자에게 법적 책임을 묻기 위해 로그를 증거로 제출할 수 있다.

로그 데이터 분석 로그 데이터 분석은 로그를 분석하여 필요로 하는 정보를 만들어 내는 행위 로 볼 수 있으며, 로그 데이터 분석을 통해 얻을 수 있는 정보는 다음과 같다. -외부로부터 침임 감지 및 추적 -시스템 성능 관리 -시스템 장애 원인 분석 -시스템 취약점 분석

윈도우 로그 분석과 설정 세션관리 - 시스템에 남아 있는 로그 정보도 중요하지만, 현재 해커가 남아 있을 경우를 생각해서 현재 로그인 되어 있는 사용자를 확인하는 것도 매우 중요하다.

net session 현재 로그인 되어 있는 사용자를 확인하는 명령은 ‘net session’이다. net session 명령을 실행하면, 자신의 시스템에 로그인한 시스템의 IP, 로그인한 계정, 클라이언트의 운영체제, 세션의 수, 로그인한 후 지난 시간을 출력해준다.

이러한 세션을 끊을 수 있는 명령은 ‘net session /delete’ 이다. 하지만 이 명령은 윈도우 인증 구조의 문제점 때문에 완벽하게 세션을 끊을 수 없다. 윈도우에서 확실히 세션을 끊는 방법은 랜 케이블을 뽑 는 것 이다.

- psioggedon 현재 로컬 되어 있는 계정에 대한 정보도 함께 보여준다 관리자가 원격에 있 을 때 로컬로 로그인한 사용자에 대한 정보가 필요할 수 있는데 이때 유용하 게 사용할 수 있다 이 정보는 시스템을 재부팅하더라도 일정 시간이 지날 때 까지 사라지지 않는다.

-nbtstat –c

‘doskey /history -마지막으로 명령 프롬프트에서 내린 명령을 살펴볼 수있다

로그 정책의 설정 로컬 정책 중 감사 정책에 대한 설정 - 윈도우에서 감사정책, 즉 로그 정책은 기본적으로 대부분의 정보를 로깅 하 지 않는 것으로 설정되어있다. 따라서 이에 대한 적절한 로그 설정이 필요하 다.

‘개체 엑세스 감사’에 대한 로그 정책 설정

성공보다는 실패에 대한 로그 정보가 침입을 인지하고 추적하기 쉽다 성공보다는 실패에 대한 로그 정보가 침입을 인지하고 추적하기 쉽다. 보통 해킹은 여러 번 실패한 후에 성공으로 이어지는 공격패턴을 갖기 때문이다. 윈도우 로깅에 대한 정보는 ‘Auditpol’ 원격 툴을 이용하여 원 격 시스템에서도 설정이 가능, 무조건적인 것은 아니며, 관리자 권환 의 계정으로 세션이 형성 되 있어야 한다.윈도우에 대한 공격을 시도 하려는 해커라면, 본격적인 공격 전에 감사 정책을 확인할 것이다. auditpol \\192.168.68.4

개체 엑세스 검사 개체 액세스 감사는 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접 근 기록을 로깅 함. -특정 디렉토리에 대한 접근 권한 설정- 고급 버튼을 누르면 해당 디렉토리에 대한 자세한 보안 설정을 할 수 있음.

-특정 디렉토리에 대해 설정된 접근 권한 규칙- 감사 탭에서는 실제로 로깅할 내용을 선택할수있다. 감사 탭에도 ‘추가’ 버튼이 있는데, 이것을 누르면 다음과 같이 로깅을 실시할 내용을 선택 할수 있다.

- 디렉토리에 대한 감사 정책 설정- 이와 같이 설정하면 하나의 개체로서의 특정한 디렉토리에 대한 감사 정책 설 정이 끝난다.

- 이벤트 뷰어에 나타나는 ‘개체 엑세스 감사’ 로그

개체 엑세스 이벤트에 대한 이벤트 ID는 위에서 확인할 수 있는 것처럼 560, 562 등이 있으며, 간략한 목록은 다음의 표와 같다. -주요 ‘개체 엑세스 감사’ 로그- 내                      용 560 개체에 접근 허가 562 개체에 대한 핸들 닫힘 563 삭제할 목적으로 개체에 접근 564 보호된 개체의 삭제

이벤트 ID: 560 아래 사항 중에 추적에 필요한 주요한 사항은 ‘개체 이름’, ‘새 핸들 ID’, ‘프로세스 ID’, ‘주 사용자 이름’, ‘주 도메인’, ‘액세스’ 정도다. WISHFREE 시스템의 wishfree 계정이 로컬로 로그온하여 1808 프로세스 로 1268번의 핸들을 생성한 후, 액세스에 나열된 항목을 실시하는 데 성공하였음을 알 수 있고, 원격 으로 접속해서 이러한 일을 수행했다면, ‘클라이언트 사용자 이름 등이 출력되었을 것이고, 접근이 거 부된 일을 수행하려 했다면 ‘성공 감사’가 아닌 ‘실패 감사’ 로그가 남았을 것이다. 개체 열기:         개체 서버:       Security         개체 형식:       File         개체 이름:       C:\TEST2\Wishfree         새 핸들 ID:      1268         작동 ID:         {0,2644721}         프로세스 ID:     1808         주 사용자 이름:   wishfree         주 도메인:       WISHFREE         주 로그인 ID:    (0x0,0x272789)         클라이언트 사용자 이름:    -         클라이언트 도메인:         -         클라이언트 로그인  ID:    -         액세스          READ_CONTROL                         SYNCHRONIZE                         ReadData (또는 ListDirectory)                         ReadEA                         ReadAttributes                                  권한            -

계정 관리 감사 - 계정관리 감사 역시 개체 엑세스 감사와 기본적으로 다르지 않다. < 이벤트 뷰어 에 나타나는 계정 관리 감사 로그>

- 계정 관리와 관계되는 이벤트 ID의 내용은 다음과 같다- < 주요 ‘계정 관리 감사’ 로그> 내                      용 624 사용자 계정 만듦 625 사용자 계정 유형 바꿈 626 사용할 수 있는 사용자 계정 627 암호 변경 시도 628 사용자 계정 암호 설정 629 사용하지 않는 사용자 계정 630 삭제된 사용자 계정 636 보안 사용 로컬 그룹 구성원 추가됨 637 보안 사용 로컬 그룹 구성원 제거됨 642 변경된 사용자 계정 643 변경된 도메인 정책 644 사용자 계정 잠김

계정 로그온 이벤트 감사 - 계정 로그온 이벤트 감사’는 계정 로그온에 대한 간단한 정보를 제공한다. 계쩡 로그온 성공 및 실패만을 로깅 한다면, 다음에 언급하게 될 ‘로그온 이벤트 감사’가 더 효율적이 다. < 이벤트 뷰어 에 나타나는 ‘계정 로그온 이벤트 감사’ 로그>

- 주요 ‘ 계정 로그온 이벤트 감사’ 로그 – 이벤트 ID 내                      용 680 로그인 성공 정보 681 로그인 실패 정보

권한 사용 감사 권한 사용 감사에서는 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때에만 로깅을 한다. 공격자가 계정을 생성하여 관리자 권한을 부여하거나 , 이에 준하는 일을 수행할 경우에 여기에 로그가 남는다.

-일반적으로 권한 사용 감사에서 확인할 수 있는 이벤트는 다음의 576, 577, 578 이벤트다. -일반적으로 권한 사용 감사에서 확인할 수 있는 이벤트는 다음의 576, 577, 578 이벤트다. 이벤트 ID 내                      용 576 권한의 할당 577 권한이 있는 서비스 호출 578 권한이 있는 개체 작동

디렉터리 서비스 액세스 감사 -디렉터리 서비스의 경우에는 너무나 많은 종류의 로그가 남고, 또한 남는 로그들이 대부분 시스템에 대한 침투나 정 책 변경보다는 운영에 대한 부분이 많으므로 넘어갑니다 ~~~

로그온 이벤트 감사 로그온 이벤트 감사는 계정 로그온 이벤트 감사와 비슷한 역할을 하는 로그 정책이지만, 좀 더 상세한 정보를 로깅 할 수 있다. <로그온 이벤트 감사 로그>

로그온 이벤트 감사에서 얻을 수 있는 로그 정보는 다음과 같이 비교 적 다양하다 로그온 이벤트 감사에서 얻을 수 있는 로그 정보는 다음과 같이 비교 적 다양하다. 각각의 경우에 따른 로그온 시도에 대해서 로깅 을 수행 할 수 있다. 이벤트 ID 내                      용 528 성공적인 로그인 529 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도 530 로그인 시 허용 시간 이내에 로그인 실패 531 사용이 금지된 계정을 이용한 로그인 시도 532 사용 기간이 만료된 계정을 이용한 로그인 시도 533 로그인이 허용되지 않는 계정을 이용한 로그인 시도 534 허용되지 않은 로그인 유형을 통한 로그인 시도 535 암호 사용기간의 만료 536 Net Logon 서비스 비활성화 상태 537 위의 사항에 해당되지 않으나 로그인 실패인 경우 538 로그오프 539 로그인하려는 계정이 잠겨 있음. 패스워드 크래킹 공격시 가능 540 로그인 성공 682 연결이 끊기 터미널 서비스 세션에 사용자 재연결 683 사용자가 로그오프하지 않고 터미널 서비스 세션 연결 끊음

정책 변경 검사 정책 변경 이벤트에 대한 사항을 로깅 한다. 주요 로그 이벤 트는 다음과 같다. 이벤트 ID 내 용 608 내                      용 608 사용자 권한 할당 609 사용자 권한 제거 610 다른 도메인과의 신뢰 관계 형성 611 다른 도메인과의 신뢰 관계 제거 612 감사 정책 변경

프로세스 추적검사 -프로세스 추적 감사는 운영체제에서 수행되는 모든 프로세스에 대한 정보를 로깅 한다. 주요 로그 이벤트는 다음과 같다. 이벤트 ID 내                      용 592 새 프로세스 생성 593 프로세스 종료 594 개체에 대한 힌트의 중복 595 개체에 대한 간접적인 접근

시스템 이벤트감사 시스템 이벤트 감사는 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요 한 사항에 대한 이벤트를 남긴다.

주요한 이벤트는 다음과 같다. 이벤트 ID 내 용 512 윈도우 시동 513 윈도우 종료 514 내                      용 512 윈도우 시동 513 윈도우 종료 514 LSA(Local Security Authority) 인증 패키지 로드 515 신뢰할 수 있는 로그인 포로세스 가 LSA로 등록 516 저장 공간의 부족으로 인해 일부 보안 이벤트 메시지 소실 517 보안 로그 삭제