사고 발생시 PC를 절대 꺼서는 안된다.
∵ 기존에 제공하던 서비스를 제공하기 위해
KISA(한국 인터넷 진흥원)에 신고한다.
다음 두 곳에 해킹의 흔적이 남는다.
1. 하드드라이브
2. 메모리(RAM)
해킹 사고 대응 절차
- memory dump
- 메모리 dump를 CD-ROM에 한다. (위/변조가 거의 불가능하여 법적 효력을 갖는다.)
- 해커의 접속 차단 : 현재 접속한 해커의 접속을 끊음. (ex. 방화벽, TCPWrapper 같은 접근 제어 이용, 해커의 셸 프로세스 확인)
- 시스템 이미지 확보 : 2개(CD-ROM)를 만들어 1개는 법적 증거, 1개는 Forensic 용으로
- 운영자에게 통보
[memory dump & image]
[Image File Analysis]
FTK Manager로 dump 뜬 결과물인
.mem 파일을 volatility 를 통해 분석해본다.
volatility.exe -f 덤프파일명 imageinfo // 운영체제 등 기본 시스템 정보를 파악하기 위함.
volatility.exe -f 덤프파일명 --profile=운영체제 pstree // 해당 운영체제의 실행중인 프로세스 트리 출력
volatility.exe -f 덤프파일명 --profile=운영체제명 netscan // IP, PORT 번호 등
기본 사용 방법은 다음 사이트를 참고하자.
github.com/volatilityfoundation/volatility/wiki/Volatility-Usage#using-volatility
[로그 기본 개념]
윈도우
- Event라는 중앙 집중화된 로그를 수집하여 저장 -> 관리가 용이
- 공격자가 한 로그만 삭제하면 되므로 위험, 로그에 대한 보안 수준이 낮은 편
유닉스 & 리눅스
- 로그를 여러 곳에 산발적으로 저장, 여러 곳에 저장된 로그는 찾기도 어렵다.
- 공격자도 로그를 모두 찾아 지우기 어렵다
해커 입장에서는 자신의 'IP주소'를 들키지 않는 것이 중요하기 때문에
대한민국과 공조수사가 어려운 러시아나 중국 IP로 2~3차례 우회하여 해킹을 시도한다.
[인증 vs 인가]
인증 : 자신의 신원(Identity)를 시스템에 증명하는 과정 (ex. ID/PW 입력)
인가: 시스템에 로그인 허락된 사용자(접근 허용여부)인지 판명하는 것.
'Low Level > 시스템 보안' 카테고리의 다른 글
Backdoor (0) | 2020.09.09 |
---|---|
슈퍼 데몬 (0) | 2020.09.09 |
[Linux] 임의 관리자 계정 생성 (0) | 2020.09.09 |
[Linux] 권한 상승 (feat. Backdoor) (0) | 2020.09.08 |