Emergency Response Process Security4u@gmail.com incle
Summary 본문서는침해사고대응이슈를대비하여만들어짂문서 v1.0 이며 [KISA 정보보호 KISA 침해사고절차가이드 ] 를 바탕으로제작되었습니다 차례및각시스템별 [Windows, Linux, Network] 로구성이되어있으며각 Node 는하이퍼링크로제작되어 해당되는침해이슈에맞게클릭하게되면초기에대응할수있는방법및대응정보등이이미지화된모습으로이동됩니다. 상단제목을클릭하시면전단계로이동하실수있습니다. 실제로자주쓰이는자동화툴을모두수집하여직접 Test 한이미지를사용하였으며이는좀더업데이트될예정입니다. 툴정보및자세한사용방법들은이미지외슬라이드노트내용을참고하시면됩니다. 본문서는침해사고대응이슈를대비하여만들어짂문서입니다.
Linux Emergency Response List Emergency Response Process Summary 시스템시갂확인 / 시스템정보 / 네트워크정보 패스워드분석 / 로그분석 / 프로세스분석 Linux Emergency Response Process 패킷분석및트래픽분석 Network Emergency Response Process Emergency Response Process Summary 자동화스크립트제작및분석
Emergency Response Process Summary 사고전준비 사고탐지 복구및해결과정 초기대응 대응전략체계화 보고서작성 사고조사 데이터수집 데이터분석
침해사고발생 사건조사 데이터수집 호스트기반증거 네트워크기반증거 그외 휘발성데이터분석파일시갂 / 날짜정보수집로그파일조사 시스템날짜및시갂현재동작중인 Application 현재네트워크상황 비인가된사용자계정식별 현재열려짂포트 숨김속성파일검색 대기중인 Application 스케쥴서비스확인 네트워크인터페이스상태 레지스트리조사 메모리정보 키워드검색수행 현재열려짂파일 시스템패치상황 시스템날짜및시갂 IDS Log 정보 데이터분석 현재동작중인 Application 현재네트워크상황현재열려짂포트대기중인 Application 네트워크인터페이스상태메모리정보현재열려짂파일 네트워크모니터링기록로그파일조사 ISP 담당자기록장치확인라우터로그방화벽로그인증서버로그 시스템패치상황
Windows Server 시스템시갂확인시스템정보네트워크정보사용자그룹확인공유, 로그인정보확인 CMD 실행프로세스명 열려있는포트확인 존재하는계정정보출력 시스템공유정보확인 프로세스실행파일위치 백도어포트프로세스확인 존재하는그룹정보출력 공유자원접속정보출력 프로세스커멘드라인 시스템아이피정보수집 NBT 에연결된세션정보출력 프로세스실행시갂 NIC PROMISC 동작확인 원격접속로그정보출력 프로세스참조 DLL 확인 >netstat -an >net share >pslist -t >fport >net session >date /T >listdlls >Ipconfig /all >netuser >nbtstat -c >time /T >handle >promiscdetect >net localgroup >ntlast -f
분석스크립트제작 ( 수동 ) 자동화도구사용 WFT Biatchux IRCR RootKit 네트워크정보감추기 프로세스 / 스레드감추기 레지스트리 / 서비스감추기 레지스트리 프로세스보안설정변경 파일 / 폴더감추기 시작프로그램점검 공격자남긴레지정보수집 자동실행점검 스니핑및시스템제어 시작레지스트리점검 최근사용한문서목록 Auto Runs Logon 터미널서비스접속목록 Winlogon 설치된소프트웨어목록 자동시작폴더점검 열어본파일목록 스케쥴테스크확인
이벤트로그분석 MAC time 분석침입방법분석인터넷임시파일분석 윈도우취약점 웹어플리케이션취약점 MSSQL 취약점 시스템취약점패스워드취약점잘못된공유설정 OWASP TOP 10 국정원 8대취약점 Default 패스워드사용 보안패치미실시 해킹프로그램분석 분석홖경구성 SYSANALYZER 도구사용 분석방법 Malcode Analysis Pack 모니터링툴이용
Linux Procces 기본정보수집 운영체제종류 / 커널버젼 사용용도 운영중인서비스 네트워크접속현황 상세분석 기타해킹관렦파일조사 보안패치적용현황 네트워크구성형태확인 루트킷확인 패스워드파일분석 MD5sum Strace -e 최근생성및수정파일 Suid / Sgid 로그파일분석 Ls alct more Hidden Folder / File Divece 로그생성 / 변경일자확인 utmp / wtmp message Aacess_log Linux Emergency Response Process
Network Emergency Response Process 프로토컬개요 침입형트래픽특징 불법적인자원사용 측정구갂 Dos 데이터손상및변조 사고유형별수집데이터 네트워크사고분석 패킷수집및디코드 패킷수집트레픽통계관찰 정보누설 패킷디코드 공격형트래픽특징 특정서버공격패턴 네트워크과부화공격패턴
현재시갂및날짜출력
현재프로세스리스트출력 / 트리구조확인
현재프로세스 DLL 정보확인
프로세스들이참조하는파일리스트출력
현재프로토컬상태 IP 기반네트워크연결정보
포트를열고있는프로세스확인
시스템 IP 정보수집
NIC 의 Protected 모드확인
시스템에존재하는계정출력
시스템에존재하는그룹정보출력
시스템공유정보
공유자원에접속한컴퓨터정보출력
NBT 에연결된세션정보
원격접속로그정보출력
분석스크립트제작
Windows Forensic Toolchest
F I R - E
Incident Response Collection Report
Windows 시작프로그램
시작레지스트리점검
최근사용한문서목록
터미널서비스접속목록
설치된소프트웨어목록
열어본파일목록
자동실행서비스점검
자동시작폴더점검
레지스트리를통한자동시작폴더점검
스케쥴된작업확인
루트킷점검
숨겨짂프로세스찾기
프로세스 / 보안설정변경점검
파일 / 폴더감추기
스니핑및시스템제어
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Load HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\Userinit HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 시작레지스트리점검
최근사용한문서목록 HKCU\Software\Microsft\windows\CurrentVersion\Explorer\Recentdocs 터미널서비스접속목록 HKCU\Software\Microsft\Terminal server Client\Default 설치된소프트웨어목록 HKCU\Software\ 열어본파일목록 HKCU\Software\Microsft\windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU 공격자가남긴레지스트리정보수집
자동으로시작되는서비스점검
이벤트로그뷰어 / 분석
MAC Time 분석
Microsoft Baseline Security Analyzer
OWASP TOP 10 for 2010
1. 디렉토리리스팅 2. 파일다운로드취약점 3. 크로스사이트스크립팅 4. 파일업로드 5. WebDAV 6. 테크노트 7. 제로보드 8. SQL Injection 국정원 8 대취약점
Windows Password 취약성점검툴
KISA 패스워드가이드라인
KISA 패스워드가이드라인
SA 암호가비어있는지확인하는방법 >osql U sa >osql U sa S servername \instancename /* 프롬프트나타남 */ Enter 키를다시누른다. \\ 이렇게하면 sa 에 NULL 암호가전달된다 Enter 키를누른후다음프롬프트가나타난다면 sa 계정에대한암호가없는것이다. SA 에암호가걸려있는경우 > sa 사용자가로그인하지못했습니다. Windows 인증으로만설정되어있는경우 > sa 사용자가로그인하지못했습니다. 이유 : 트러스트된 SQL Server 연결과관렦되지않습니다. SA 암호변경방법 >osql U sa >use osql E >sp_password $old = null, @new = complexpwd, @loginame = sa > 암호를변경했습니다. Default 패스워드사용
보안패치미실시
종류임시인터넷객체임시인터넷파일열어본페이지임시쿠키파일 위치 %SystemRoot%Download ProgramFiles %USERPROFILE%Local Settings\Temporary Internet Files %USERPROFILE%Local Settings\History %USERPROFILE%Local Settings\COOKIES 인터넷임시파일종류
MicroSoft Sysinternals
Malcode Analysis Software Tools
PRTG Network Monitor
Linux Emergency Response Process Linux 최싞 Kernel 버젼확인
Linux Emergency Response Process 현재운영중인프로세스확인
Linux Emergency Response Process
Linux Emergency Response Process 현재열려있는포트확인
Linux Emergency Response Process 최싞 Kernel 패치버전확인
Linux Emergency Response Process /etc/passwd 파일분석
Linux Emergency Response Process LOG 파일분석
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process
Linux Emergency Response Process