정보보안 - 침해사고 분석 절차
침해사고 분석 절차
- 침해사고 분석의 목적
- 사고의 수습
- 누가 공격을 하였는지 파악
- 데이터 수집 -> 범행 단서 수집
- 법적 소송에 필요한 데이터 : 무결성, 적법성을 유지해야 함
- 수집하는 데이터 정보 종류
- 호스트 기반 정보 (증거)
- 시스템 시간
- 휘발성 데이터 (우선 수집 대상)
- 수집하기 위해서 Live Response 수행 필요
- 살아있는 System 에서 휘발성 정보를 수집하는 행위
- Initial Live Response : 휘발성 데이터만 수집
- In-depth Response : 휘발성 데이터 + 충분한 부가정보 (법적대응에 필요한 정보-무결성,적법) 수집
- Full Live Response : Live System 의 완전조사
- 시스템의 날짜, 시간
- 시스템에서 현재 동작 중인 어플리케이션
- 현재 연결된 네트워크 상황
- 현재 열려진 소켓(포트)
- 열려진 소켓 상에서 대기하고 있던 어플리케이션
- 네트워크 인터페이스의 상태
- 메모리 정보, 현재 열려있는 파일, 시스템 패치 상황
- 수집하기 위해서 Live Response 수행 필요
- 시스템의 모든 파일들의 생성,수정 시간/날짜 정보
- 공격자에 의한 Upload 된 파일 식별을 위함
- 시스템으로 Upload / Download 된 파일 식별
- 출처 미확인 파일
- 디스크 백업 수집
- 네트워크 기반 정보 (증거)
- IDS 로그 수집
- IPS 로그 수집
- 라우터 로그 수집
- 방화벽 로그 수집
- 인증서버 로그 수집
- 중앙호스트 (Syslog) 로부터의 원격로그 수집
- 일반적 증거
- 증인으로부터의 수집
- 호스트 기반 정보 (증거)
- 증거 수집 전략 (네트워크)
- 장비를 종료/재부팅 하는 것을 피함
- 네트워크 기반의 증거들이 장비의 메모리에 휘발성 데이터로 존재
- 네트워크를 통한 접근 (원격접근) 보다 콘솔을 통해 연결
- 조사의 흔적을 최소화 하기 위함
- 원격접근은 Traffic 을 발생시킴
- 시스템 시간 정보 기록
- 네트워크 장비와 신뢰할 만한 시스템의 시간 차이를 확인
- 대부분의 포렌식 툴은 로그의 시간 차이를 조정하는 기능이 제공되지 않음
- 수동으로 비교, Script 를 만들어 사용
- 휘발성 정도에 따라서 증거를 수집
- 휘발성이 높은 증거부터 수집
- 조사활동을 모두 기록
- 실수에 의한 기록을 남기더라도 가능한한 모든 기록을 남기는 것이 중요
- GUI 접속은 화면캡처나 사진 등
- 장비를 종료/재부팅 하는 것을 피함
- 네트워크 기반의 증거 수집
- 패시브 증거 수집 : 계층 이상의 상위 계층에 데이터를 송신하지 않고 포렌식 용 증거를 수집하는 방법
- 케이블을 이용하여 감청
- 트래픽 스니핑 툴 사용
- 주파수 감청 (무선)
- 무선 AP Mac 주소
- 허브 (1계층) / 스위치 (2계층) 이용
- 포트 미러링 : 하나 이상의 포트에서 다른 포트의 트래픽을 복제
- MAC 플러딩 : 다량의 맥 주소를 사용하는 임의의 이더넷 패킷을 보내 CAM 테이블을 채워, MAC 포트를 연결할 수 없게 되었을 때 모든 포트에 트래픽을 전송
- ARP 스푸핑 : 공격자의 MAC 주소를 희생자의 IP와 매핑 시켜 거짓 ARP 패킷을 송신
- 트래픽 수집 소프트웨어 사용
- libpcap
- 네트워크 상의 인터페이스에 대한 데이터링크 계층의 프레임을 캡쳐
- winpcap
- 윈도우에서 돌아가는 libpcap
- 패킷스니퍼
- libpcap 기반 동작
- tcpdump
- 리눅스 기반 플랫폼에서 동작 / 윈도우의 경우 windump (winpcap)
- libpcap 기반 동작
- 트래픽 캡처 / 필터링
- wireshark
- 트래픽 캡처 / 필터링
- 그래픽 기반 툴
- libpcap
- 케이블을 이용하여 감청
- 액티브 (인터렉티브) 증거 수집
- 휘발성 증거는 시스템이 동작하고 네트워크가 연결된 상태에서 수집
- 네트워크 상의 스테이션과 상호 작용하여 증거를 수집하는 방법
- 콘솔로 직접 연결하는 방법
- 트래픽이 발생하지 않음 (흔적이 덜 남게 됨)
- SSH / SCP,SFTP 를 이용하는 방법
- Telnet 이나 Rlogin, TFTP 같은 취약한 원격 연결 툴 (Plain Text 전송) 보다 감청을 당해도 안전
- SNMP 프로토콜 사용
- 포렌식에서 사용되는 대부분의 툴이 SNMP 프로토콜을 사용
- SSL / TLS 를 이용한 웹데이터 수집
- 콘솔로 직접 연결하는 방법
- 네트워크 접근을 하지 않고 조사하는 방법
- 포트 스캐닝
- 취약점 조사
- 패시브 증거 수집 : 계층 이상의 상위 계층에 데이터를 송신하지 않고 포렌식 용 증거를 수집하는 방법
- 데이터 분석 절차
- 포렌식 이미징 작업 : 사본 만들기
- 데이터의 준비
- 수집 이미지의 사본 제작
- 파일 리스트 생성
- 삭제 파일 복구
- 비 할당 공간 복구
- 파일 시그니처 분석 수행
- 알려진 시스템 파일 식별
- 통계적인 데이터 파티션 테이블 파일 시스템 수행
- 데이터의 분석
- 이메일과 첨부파일 뽑아내기
- 브라우저 히스토리 파일 재검토
- 설치된 어플리케이션 재검토
- 수집된 데이터 재검토
- 적절한 스트링 검색
- 모든 네트워크 기반 증거 재검토
- 소프트웨어 분석 수행
- 암호화된 파일 식별과 해독
- 파일 대 파일 재검토 수행
- 특성화된 분석 수행
댓글남기기