Test

#About

크레센도 그룹의 보안담당자 A 씨는 내부 정기 감사를 통해 한 직원의 컴퓨터에서 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견하였다. 현재 추가 분석을 위해 해당 직원 컴퓨터에서 확보한 이벤트 로그 파일 5개를 전달받은 상태이다. 주어진 파일에서 다음과 같은 정보를 확보하시오:

1. 설치된 "비인가 프로그램"의 실행파일 이름

2. 1번 프로그램의 설치 완료 시점

3. 1번 프로그램이 방화벽 예외에 등록된 시점

2,3번 문항 시점은

YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임

답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: PPAP_2015-01-28 11:16:33_2015-01-28 17:33:22

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공하는 받은 이벤트 로그 파일은 총 5개이며, 첫 번째 문제에서 요구하는 것은"비 인가 프로그램"의 실행파일 

이름을 찾는 것이므로 응용 프로그램과 관련 이벤트 로그가 저장되는 Application.evtx를 실행했다

[그림 2] - Application.evtx 실행

윈도우 인스톨러에 의해 설치되는 응용 프로그램의 이벤트 ID는 1033이고 별도의 작업 범주가 없으며 원본의 MsiInstall에서 설치 정보를 확인할 수 있다

[그림 3] - 클라우드 공유 관련 프로그램 설치 확인

로깅 시간이 2016-10-13 오후 12:25:36인 레코드에서 클라우드 서비스를 제공하는 Dropbox의 설치를 확인함으로써 

1,2번 문제에서 요구하는 비인가 프로그램의 이름과 설치 시각 완료 시점을 알 수 있었으며, 마지막으로 Dropbox가 방화벽 예외에 등록된 

시점을 알기 위해 윈도우 방화벽 관련 로그인 Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx 파일을 열었다

[그림 4] - 방화벽 예외 목록 규칙 추가 이벤트 ID 확인

마지막 문제인 방화벽 예외에 등록된 시점을 찾기 위해 해당 이벤트 ID를 찾다가 위 [그림 4]에서 확인할 수 있듯 2004임을 알 수 있었고

이벤트 ID가 2004인 로그를 필터링한 결과는 아래와 같으며, 필터링 된 첫 번째 레코드의 로그에서 바로 확인할 수 있었다

[그림 5] - 방화벽 예외에 등록된 시점 확인

요약하면, 2016-10-13 오후 12:25:36에 인가되지 않은 프로그램인 Dropbox이 설치되었으며 방화벽 예외 규칙에 등록된 시간은

2016-10-13 오후 12:30:00으로 Dropbox 설치 후 04분 24초가 지난 시점에 방화벽 예외 규칙에 추가되었다

Answer = Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00

#About

크레센도 그룹의 보안담당자 A 씨는 최근 퇴사자의 PC를 분석하던 중, 보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다. 해당 흔적에 대한 추가 분석을 수행하시오.

1. 첫 번째 원격 로그인 성립 시점

2. 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름

3. 원격으로 접속한 비 인가 부서의 IP 주소

1번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임

답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: 2015-01-28 11:16:33_CRE_10.0.0.123

#Solution

[그림 1] - 문제 파일 확인

위 그림은 문제에서 제공한 이벤트 로그 파일을 실행한 화면이며 이벤트 수는 675개임을 확인할 수 있다

많은 양의 이벤트 로그를 모두 확인하기에는 시간이 많이 걸리며 효율성 있는 로그 확인을 위해 필터링 과정을 거쳐야한다

문제에서 요구하는 것은 접근이 허용되지 않은 부서의 IP에서 사용한 원격 로그인의 성립 시점을 찾는 것이다

따라서 원격 로그인의 관련한 이벤트 ID를 알아야 하며 원격 로그인의 상위 작업범주는 로그온이다

[그림 2] - 원격 로그온 관련 이벤트 필터링

위 [그림 2]는 로그온 관련 이벤트 ID인 4624을 기준으로 필터링한 결과이며, 이벤트 ID 4624는 로그온 유형이라는 것이 존재한다

[그림 3] - 로그온 유형

https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx

위 [그림 3]은 로그온 유형에 관한 자료이며 유심히 보아야 할 것은, 원격과 관련한 로그온 타입 10의 레코드이다

로그온 타입 10의 레코드의 내용은 사용자가 터미널 서비스 또는 원격 데스크 톱을 사용하여 이 컴퓨터에 로그온했다는 내용이며

이를 기반으로 [그림 2]의 이벤트 로그를 찾으면 아래와 같이 확인할 수 있다

[그림 4] - 로그온 유형 10 확인

문제 1에서 요구한 사항이 첫 번째 원격 로그온 시점이므로 가장 오래 된 시간순으로 정렬 후 확인 결과 2016-10-14 오전 7:02:10에 로그온 유형 10으로 

원격 로그온 되었음을 확인할 수 있었으며 문제 2와 문제 3에서 요구하는 정보들은 해당 로그의 상세 정보를 통해 아래와 같이 확인할 수 있었다

[그림 5] - 원격 로그온 로그 상세 확인

원격 로그온 시간 = 2016년 10월 14일 오전 7시 02분 10초

계정 이름 = DEVJDOE

원본 네트워크 주소 = 192.168.16.11

Answer = 2016-10-14 07:02:10_DEVJDOE_192.168.16.11