침해 분석 - 가장 중요한 포인트

침해 분석을 진행할 때 가장 중요한 포인트는 무엇일까?

바로 해당 머신이 침해인가를 확인하는 것. 이를 위해 우리가 살펴봐야 하는 포인트는 3가지 이다.(침해 분석에 Hardware 도 포함 되어야 하지만 대부분 Hardware에 대한 침해은 어렵고, 많지 않기 때문에 여기에서는 예외한다.)

 

IR 주요 포인트

1. Malware

Malware가 실행되었는지를 확인해야 한다. OS를 변경하거나 File을 생성혹 변경하고 네트워크 활동을 할 수 있다. 따라서 Malware를 확인 할 때, Malware는 Kernel 혹은 User 모드로 실행되어 Process 자체만으로 확인이 어려울 수 있고, Dropper 와 같이 변형이 일어날 수 있기 때문에 Process와 함께 File과 Network 활동을 같이 확인해야 한다. Malware는 VirusTotal이나 Anti-Virus Engine의 도움을 받을 수 있다.

 

2. User behavior

정상적인 사용자가 아닌 비인가 사용자가 접근하여 프로세스를 실행하거나 OS를 변경하였을 수 있다. 이는 Lateral Movement(침해 증식 활동으로 내부 이동을 하는 상황)활동을 통해 침해사고가 발생한 다른 머신에 의해 발생했거나 이미 침해를 마친 Malware가 스스로 파괴후 해커가 직접 들어와서 활동하는 경우가 발생할 수 있다. 유저 활동을 분석해 일반적이지 않은 행위나 위험 행위를 식별해서 침해 유무를 확인해야 한다. 사용자 로그인 로그와 프로세스 실행 흔적등 Audit 로그를 적극 활용하자.

 

3. OS Change

마지막으로 OS의 변경으로, 예약 작업을 추가한다거나, Auto Startup 프로세스를 추가하는등 OS 관리 변경이 발생한 내용을 확인해야 한다. 이부분은 Malware 나 User behavior와 연계되어 확인되는 경우가 많다. Autoruns 등이 도움이 될 것이다.

 

이 3가지 포인트를 기본으로 분석을 진행하여야 하며, 아래 Incident Response관련된 자료들을 Github에 모아놓은 유용한 링크를 공개 하니 아래 자료를 참고하면 유용할 것이다.

https://github.com/meirwah/awesome-incident-response

meirwah/awesome-incident-response