bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.
4. 대응전략 결정 단계
- 기술적인 문제뿐만 아니라 사업상의 요소도 고려해야 한다.
- 채택된 대응 전략 실행 전에 의사결정권자의 허가가 있어야 한다.
5. 정밀 조사를 위한 자료 이중화 단계
- 정밀한 조사나 증거수집을 위해서는 포렌식 이미지 생성 필요
- 사고조사를 위해 파일 시스템상의 프래그먼트 정보까지 찾으려고 할 떄 이중화는 필수이다.
- 대응전략수집단계에서 자료 이중화를 결정한다
분석시스템 준비
- 방법에 따른 분류
- 피해시스템의 저장장치를 분리해서 분석시스템에 붙여서 이미지 생성
- 피해시스템에 하드 드라이브를 붙여서 이미지 생성
- 디스크 이미지를 분석시스템에 네트워크로 전송하는 방법
디스크 이미지 복사
- dd 명령어:bit 단위로 정보를 복사하기 위한 low-level 명령어
- dd if=[device] of=[device] bs=[blocksize]
- 피해 시스템에서 복사하는 것보다는 클린한 백업본을 사용하자
- 백업 도구
6. 조사단계(상세분석)
- 누구에 의해서 어떤 자료나 장비가 어떠한 방법으로 누출, 훼손됐는지를 조사하여 복구 및 대응 방법까지 결정
- 가장 많은 노력과 시간을 필요로 한다.
What?
- 침입 시간, 방법
- 공격자의 출처
- 설치된 트로이잔 프로그램
- 숨겨진 디렉토리, 파일
- 공격자의 프로세스
- 공격의 목적 등
분석 방법
- 알려진 공격방법 분석
- 패스워드 백도어
- SUID 백도어
- 설정 파일을 이용한 백도어
- 네트워크 서비스 백도어
- Crontab 백도어
- Rootshell binding 백도어
- 네트워크 백도어
- Covert Channel
- 변조된 파일 분석
- 무결성 검사
- 의심스러운 바이너리에 대한 md5sum값과 각 시스템 별로 올바른 무결성 값을 제공하는 사이트의 정보를 비교하여 분석
- MAC time 분석
- 파일에 대한 Time stamp
- 공격 시간을 알 경우에 이를 이용하면 편리하다
- Mtime을 알기위한 명령어: ls –latr –full-time
- Atime을 알기위한 명령어: ls –laur –full-time
- Ctime을 알기위한 명령어: ls –lacr –full-time
- 악성 프로그램 분석
- 정적 분석: 프로그램을 실행시키지 않고 분석한다.
- 동적 분석: 프로그램을 실행시키며 분석한다.(with VM)
- 로그 분석
- 공격 흔적이 남아 있더라도 변조될 수 있기 때문에 무조건 신뢰 X
- 유닉스/리눅스
- 중앙 집중식 로그 관리 syslog + 각 데몬별 로그가 존재
- UTMP: 현재 시스템에 로그인한 사용자의 상태(명령어: w,who)
- WTMP: 사용자들의 로그인, 로그아웃, 시스템 재부팅 정보(명령어: last)
- ACCT: 시스템에 로그인한 모든 사용자가 수행한 프로그램에 대한 정보(lastcomm)
- History: 각 계졍마다 실행했던 명령에 대한 기록
- lastlog: 사용자가 가장 최근에 로그인 한 시간을 기록
- Syslog: 시스템의 로그에 대한 대부분의 정보
- Loginlog: 실패한 로그인 시도에 대한 로깅
- FTPlog: 파일 전송 날짜와 파일에 대한 정보
- Httpd log: apache에 Access_log와 Error_log 가 기록됨
- Secure: inetd 서버가 제공하는 네트워크 서비스에 대한 접속 기록(var/log/secure)
7. 보안조치 수행 단계
- 또 다른 침입으로부터 시스템을 보호해야 한다.
- 복구하기 전에 침입자가 또다시 시스템, 네트워크에 침입할 수 없도록 해야 한다.
- 조사 단계에서 확인 된 모든 취약점을 제거해야 한다.
8. 모니터링 단계
네트워크 모니터링
- 조사단계와 복구단계에서 사용된다
- 스니퍼를 이용하여 프로토콜별 모니터링 수행
9. 복구
- 피해 시스템들을 안전하고 운영가능한 상태로 복원하는 것