HY03

HY03

저는 전문가가 아니고 이것 저것 알아보는 비전문가 입니다.
틀린 내용이 기술되어도 너그러이 봐주시고 댓글을 남겨주셨으면 좋겠습니다.

정보보안 - 침해사고 분석 절차

침해사고 분석 절차

  • 침해사고 분석의 목적
    • 사고의 수습
    • 누가 공격을 하였는지 파악
      • 데이터 수집 -> 범행 단서 수집
      • 법적 소송에 필요한 데이터 : 무결성, 적법성을 유지해야 함
    • 수집하는 데이터 정보 종류
      • 호스트 기반 정보 (증거)
        • 시스템 시간
        • 휘발성 데이터 (우선 수집 대상)
          • 수집하기 위해서 Live Response 수행 필요
            • 살아있는 System 에서 휘발성 정보를 수집하는 행위
            • Initial Live Response : 휘발성 데이터만 수집
            • In-depth Response : 휘발성 데이터 + 충분한 부가정보 (법적대응에 필요한 정보-무결성,적법) 수집
            • Full Live Response : Live System 의 완전조사
          • 시스템의 날짜, 시간
          • 시스템에서 현재 동작 중인 어플리케이션
          • 현재 연결된 네트워크 상황
          • 현재 열려진 소켓(포트)
          • 열려진 소켓 상에서 대기하고 있던 어플리케이션
          • 네트워크 인터페이스의 상태
          • 메모리 정보, 현재 열려있는 파일, 시스템 패치 상황
        • 시스템의 모든 파일들의 생성,수정 시간/날짜 정보
          • 공격자에 의한 Upload 된 파일 식별을 위함
          • 시스템으로 Upload / Download 된 파일 식별
        • 출처 미확인 파일
        • 디스크 백업 수집
      • 네트워크 기반 정보 (증거)
        • IDS 로그 수집
        • IPS 로그 수집
        • 라우터 로그 수집
        • 방화벽 로그 수집
        • 인증서버 로그 수집
        • 중앙호스트 (Syslog) 로부터의 원격로그 수집
      • 일반적 증거
        • 증인으로부터의 수집
  • 증거 수집 전략 (네트워크)
    • 장비를 종료/재부팅 하는 것을 피함
      • 네트워크 기반의 증거들이 장비의 메모리에 휘발성 데이터로 존재
    • 네트워크를 통한 접근 (원격접근) 보다 콘솔을 통해 연결
      • 조사의 흔적을 최소화 하기 위함
      • 원격접근은 Traffic 을 발생시킴
    • 시스템 시간 정보 기록
      • 네트워크 장비와 신뢰할 만한 시스템의 시간 차이를 확인
      • 대부분의 포렌식 툴은 로그의 시간 차이를 조정하는 기능이 제공되지 않음
        • 수동으로 비교, Script 를 만들어 사용
    • 휘발성 정도에 따라서 증거를 수집
      • 휘발성이 높은 증거부터 수집
    • 조사활동을 모두 기록
      • 실수에 의한 기록을 남기더라도 가능한한 모든 기록을 남기는 것이 중요
      • GUI 접속은 화면캡처나 사진 등
  • 네트워크 기반의 증거 수집
    • 패시브 증거 수집 : 계층 이상의 상위 계층에 데이터를 송신하지 않고 포렌식 용 증거를 수집하는 방법
      • 케이블을 이용하여 감청
        • 트래픽 스니핑 툴 사용
      • 주파수 감청 (무선)
        • 무선 AP Mac 주소
      • 허브 (1계층) / 스위치 (2계층) 이용
        • 포트 미러링 : 하나 이상의 포트에서 다른 포트의 트래픽을 복제
        • MAC 플러딩 : 다량의 맥 주소를 사용하는 임의의 이더넷 패킷을 보내 CAM 테이블을 채워, MAC 포트를 연결할 수 없게 되었을 때 모든 포트에 트래픽을 전송
        • ARP 스푸핑 : 공격자의 MAC 주소를 희생자의 IP와 매핑 시켜 거짓 ARP 패킷을 송신
      • 트래픽 수집 소프트웨어 사용
        • libpcap
          • 네트워크 상의 인터페이스에 대한 데이터링크 계층의 프레임을 캡쳐
        • winpcap
          • 윈도우에서 돌아가는 libpcap
        • 패킷스니퍼
          • libpcap 기반 동작
        • tcpdump
          • 리눅스 기반 플랫폼에서 동작 / 윈도우의 경우 windump (winpcap)
          • libpcap 기반 동작
          • 트래픽 캡처 / 필터링
        • wireshark
          • 트래픽 캡처 / 필터링
          • 그래픽 기반 툴
    • 액티브 (인터렉티브) 증거 수집
      • 휘발성 증거는 시스템이 동작하고 네트워크가 연결된 상태에서 수집
      • 네트워크 상의 스테이션과 상호 작용하여 증거를 수집하는 방법
        • 콘솔로 직접 연결하는 방법
          • 트래픽이 발생하지 않음 (흔적이 덜 남게 됨)
        • SSH / SCP,SFTP 를 이용하는 방법
          • Telnet 이나 Rlogin, TFTP 같은 취약한 원격 연결 툴 (Plain Text 전송) 보다 감청을 당해도 안전
        • SNMP 프로토콜 사용
          • 포렌식에서 사용되는 대부분의 툴이 SNMP 프로토콜을 사용
        • SSL / TLS 를 이용한 웹데이터 수집
      • 네트워크 접근을 하지 않고 조사하는 방법
        • 포트 스캐닝
        • 취약점 조사
  • 데이터 분석 절차
    • 포렌식 이미징 작업 : 사본 만들기
    • 데이터의 준비
      • 수집 이미지의 사본 제작
      • 파일 리스트 생성
      • 삭제 파일 복구
      • 비 할당 공간 복구
      • 파일 시그니처 분석 수행
      • 알려진 시스템 파일 식별
      • 통계적인 데이터 파티션 테이블 파일 시스템 수행
    • 데이터의 분석
      • 이메일과 첨부파일 뽑아내기
      • 브라우저 히스토리 파일 재검토
      • 설치된 어플리케이션 재검토
      • 수집된 데이터 재검토
      • 적절한 스트링 검색
      • 모든 네트워크 기반 증거 재검토
      • 소프트웨어 분석 수행
      • 암호화된 파일 식별과 해독
      • 파일 대 파일 재검토 수행
      • 특성화된 분석 수행

댓글남기기

참고