시스템 로그 분석 20111659 유재성
윈도우 시스템 로그분석 -로그란? - 세션관리 - 로그 정책의 설정 -개체 엑세스 감사 -계정관리 감사 -계정 로그온 이벤트 감사 - 권한 사용감사 -디렉터리 서비스 엑세스 감사 -로그온 이벤트감사 -정책 변경 감사 -프로세스 추적 감사 -시스템 이벤트 감사
로그란? 프로그램의 동작 상황 등의 경과를 기록하는 운영기록으로 시스템의 모든 기록 을 담고 있는 데이터라고 할 수 있다. 이 데이터에는 성능,오류,경고 및 운영 정 보 등의 중요한 정보가 기록된다.
로그 관리의 필요성 컴퓨터의 모든 일련의 작업은 로그라는 정보로 저장되게 되는데, 로그 를 활용하면 해킹의 흔적으로 찾거나, 해킹에 이용된 공격기법을 로그 분석을 통해 찾을 수 있다면 시스템의 취약점을 제거하는데 사용할 수 있고, 공격에 대한 근원지를 찾을 수 있다면 공격으로 인한 자산의 손 실에 대해 공자에게 법적 책임을 묻기 위해 로그를 증거로 제출할 수 있다.
로그 데이터 분석 로그 데이터 분석은 로그를 분석하여 필요로 하는 정보를 만들어 내는 행위 로 볼 수 있으며, 로그 데이터 분석을 통해 얻을 수 있는 정보는 다음과 같다. -외부로부터 침임 감지 및 추적 -시스템 성능 관리 -시스템 장애 원인 분석 -시스템 취약점 분석
윈도우 로그 분석과 설정 세션관리 - 시스템에 남아 있는 로그 정보도 중요하지만, 현재 해커가 남아 있을 경우를 생각해서 현재 로그인 되어 있는 사용자를 확인하는 것도 매우 중요하다.
net session 현재 로그인 되어 있는 사용자를 확인하는 명령은 ‘net session’이다. net session 명령을 실행하면, 자신의 시스템에 로그인한 시스템의 IP, 로그인한 계정, 클라이언트의 운영체제, 세션의 수, 로그인한 후 지난 시간을 출력해준다.
이러한 세션을 끊을 수 있는 명령은 ‘net session /delete’ 이다. 하지만 이 명령은 윈도우 인증 구조의 문제점 때문에 완벽하게 세션을 끊을 수 없다. 윈도우에서 확실히 세션을 끊는 방법은 랜 케이블을 뽑 는 것 이다.
- psioggedon 현재 로컬 되어 있는 계정에 대한 정보도 함께 보여준다 관리자가 원격에 있 을 때 로컬로 로그인한 사용자에 대한 정보가 필요할 수 있는데 이때 유용하 게 사용할 수 있다 이 정보는 시스템을 재부팅하더라도 일정 시간이 지날 때 까지 사라지지 않는다.
-nbtstat –c
‘doskey /history -마지막으로 명령 프롬프트에서 내린 명령을 살펴볼 수있다
로그 정책의 설정 로컬 정책 중 감사 정책에 대한 설정 - 윈도우에서 감사정책, 즉 로그 정책은 기본적으로 대부분의 정보를 로깅 하 지 않는 것으로 설정되어있다. 따라서 이에 대한 적절한 로그 설정이 필요하 다.
‘개체 엑세스 감사’에 대한 로그 정책 설정
성공보다는 실패에 대한 로그 정보가 침입을 인지하고 추적하기 쉽다 성공보다는 실패에 대한 로그 정보가 침입을 인지하고 추적하기 쉽다. 보통 해킹은 여러 번 실패한 후에 성공으로 이어지는 공격패턴을 갖기 때문이다. 윈도우 로깅에 대한 정보는 ‘Auditpol’ 원격 툴을 이용하여 원 격 시스템에서도 설정이 가능, 무조건적인 것은 아니며, 관리자 권환 의 계정으로 세션이 형성 되 있어야 한다.윈도우에 대한 공격을 시도 하려는 해커라면, 본격적인 공격 전에 감사 정책을 확인할 것이다. auditpol \\192.168.68.4
개체 엑세스 검사 개체 액세스 감사는 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접 근 기록을 로깅 함. -특정 디렉토리에 대한 접근 권한 설정- 고급 버튼을 누르면 해당 디렉토리에 대한 자세한 보안 설정을 할 수 있음.
-특정 디렉토리에 대해 설정된 접근 권한 규칙- 감사 탭에서는 실제로 로깅할 내용을 선택할수있다. 감사 탭에도 ‘추가’ 버튼이 있는데, 이것을 누르면 다음과 같이 로깅을 실시할 내용을 선택 할수 있다.
- 디렉토리에 대한 감사 정책 설정- 이와 같이 설정하면 하나의 개체로서의 특정한 디렉토리에 대한 감사 정책 설 정이 끝난다.
- 이벤트 뷰어에 나타나는 ‘개체 엑세스 감사’ 로그
개체 엑세스 이벤트에 대한 이벤트 ID는 위에서 확인할 수 있는 것처럼 560, 562 등이 있으며, 간략한 목록은 다음의 표와 같다. -주요 ‘개체 엑세스 감사’ 로그- 내 용 560 개체에 접근 허가 562 개체에 대한 핸들 닫힘 563 삭제할 목적으로 개체에 접근 564 보호된 개체의 삭제
이벤트 ID: 560 아래 사항 중에 추적에 필요한 주요한 사항은 ‘개체 이름’, ‘새 핸들 ID’, ‘프로세스 ID’, ‘주 사용자 이름’, ‘주 도메인’, ‘액세스’ 정도다. WISHFREE 시스템의 wishfree 계정이 로컬로 로그온하여 1808 프로세스 로 1268번의 핸들을 생성한 후, 액세스에 나열된 항목을 실시하는 데 성공하였음을 알 수 있고, 원격 으로 접속해서 이러한 일을 수행했다면, ‘클라이언트 사용자 이름 등이 출력되었을 것이고, 접근이 거 부된 일을 수행하려 했다면 ‘성공 감사’가 아닌 ‘실패 감사’ 로그가 남았을 것이다. 개체 열기: 개체 서버: Security 개체 형식: File 개체 이름: C:\TEST2\Wishfree 새 핸들 ID: 1268 작동 ID: {0,2644721} 프로세스 ID: 1808 주 사용자 이름: wishfree 주 도메인: WISHFREE 주 로그인 ID: (0x0,0x272789) 클라이언트 사용자 이름: - 클라이언트 도메인: - 클라이언트 로그인 ID: - 액세스 READ_CONTROL SYNCHRONIZE ReadData (또는 ListDirectory) ReadEA ReadAttributes 권한 -
계정 관리 감사 - 계정관리 감사 역시 개체 엑세스 감사와 기본적으로 다르지 않다. < 이벤트 뷰어 에 나타나는 계정 관리 감사 로그>
- 계정 관리와 관계되는 이벤트 ID의 내용은 다음과 같다- < 주요 ‘계정 관리 감사’ 로그> 내 용 624 사용자 계정 만듦 625 사용자 계정 유형 바꿈 626 사용할 수 있는 사용자 계정 627 암호 변경 시도 628 사용자 계정 암호 설정 629 사용하지 않는 사용자 계정 630 삭제된 사용자 계정 636 보안 사용 로컬 그룹 구성원 추가됨 637 보안 사용 로컬 그룹 구성원 제거됨 642 변경된 사용자 계정 643 변경된 도메인 정책 644 사용자 계정 잠김
계정 로그온 이벤트 감사 - 계정 로그온 이벤트 감사’는 계정 로그온에 대한 간단한 정보를 제공한다. 계쩡 로그온 성공 및 실패만을 로깅 한다면, 다음에 언급하게 될 ‘로그온 이벤트 감사’가 더 효율적이 다. < 이벤트 뷰어 에 나타나는 ‘계정 로그온 이벤트 감사’ 로그>
- 주요 ‘ 계정 로그온 이벤트 감사’ 로그 – 이벤트 ID 내 용 680 로그인 성공 정보 681 로그인 실패 정보
권한 사용 감사 권한 사용 감사에서는 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때에만 로깅을 한다. 공격자가 계정을 생성하여 관리자 권한을 부여하거나 , 이에 준하는 일을 수행할 경우에 여기에 로그가 남는다.
-일반적으로 권한 사용 감사에서 확인할 수 있는 이벤트는 다음의 576, 577, 578 이벤트다. -일반적으로 권한 사용 감사에서 확인할 수 있는 이벤트는 다음의 576, 577, 578 이벤트다. 이벤트 ID 내 용 576 권한의 할당 577 권한이 있는 서비스 호출 578 권한이 있는 개체 작동
디렉터리 서비스 액세스 감사 -디렉터리 서비스의 경우에는 너무나 많은 종류의 로그가 남고, 또한 남는 로그들이 대부분 시스템에 대한 침투나 정 책 변경보다는 운영에 대한 부분이 많으므로 넘어갑니다 ~~~
로그온 이벤트 감사 로그온 이벤트 감사는 계정 로그온 이벤트 감사와 비슷한 역할을 하는 로그 정책이지만, 좀 더 상세한 정보를 로깅 할 수 있다. <로그온 이벤트 감사 로그>
로그온 이벤트 감사에서 얻을 수 있는 로그 정보는 다음과 같이 비교 적 다양하다 로그온 이벤트 감사에서 얻을 수 있는 로그 정보는 다음과 같이 비교 적 다양하다. 각각의 경우에 따른 로그온 시도에 대해서 로깅 을 수행 할 수 있다. 이벤트 ID 내 용 528 성공적인 로그인 529 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도 530 로그인 시 허용 시간 이내에 로그인 실패 531 사용이 금지된 계정을 이용한 로그인 시도 532 사용 기간이 만료된 계정을 이용한 로그인 시도 533 로그인이 허용되지 않는 계정을 이용한 로그인 시도 534 허용되지 않은 로그인 유형을 통한 로그인 시도 535 암호 사용기간의 만료 536 Net Logon 서비스 비활성화 상태 537 위의 사항에 해당되지 않으나 로그인 실패인 경우 538 로그오프 539 로그인하려는 계정이 잠겨 있음. 패스워드 크래킹 공격시 가능 540 로그인 성공 682 연결이 끊기 터미널 서비스 세션에 사용자 재연결 683 사용자가 로그오프하지 않고 터미널 서비스 세션 연결 끊음
정책 변경 검사 정책 변경 이벤트에 대한 사항을 로깅 한다. 주요 로그 이벤 트는 다음과 같다. 이벤트 ID 내 용 608 내 용 608 사용자 권한 할당 609 사용자 권한 제거 610 다른 도메인과의 신뢰 관계 형성 611 다른 도메인과의 신뢰 관계 제거 612 감사 정책 변경
프로세스 추적검사 -프로세스 추적 감사는 운영체제에서 수행되는 모든 프로세스에 대한 정보를 로깅 한다. 주요 로그 이벤트는 다음과 같다. 이벤트 ID 내 용 592 새 프로세스 생성 593 프로세스 종료 594 개체에 대한 힌트의 중복 595 개체에 대한 간접적인 접근
시스템 이벤트감사 시스템 이벤트 감사는 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요 한 사항에 대한 이벤트를 남긴다.
주요한 이벤트는 다음과 같다. 이벤트 ID 내 용 512 윈도우 시동 513 윈도우 종료 514 내 용 512 윈도우 시동 513 윈도우 종료 514 LSA(Local Security Authority) 인증 패키지 로드 515 신뢰할 수 있는 로그인 포로세스 가 LSA로 등록 516 저장 공간의 부족으로 인해 일부 보안 이벤트 메시지 소실 517 보안 로그 삭제