침해사고 대응 절차

 

사고 발생시 PC를 절대 꺼서는 안된다.

∵ 기존에 제공하던 서비스를 제공하기 위해

 

KISA(한국 인터넷 진흥원)에 신고한다.

 

---

다음 두 곳에 해킹의 흔적이 남는다.

1. 하드드라이브

2. 메모리(RAM)

 

해킹 사고 대응 절차

• memory dump
  
  • 메모리 dump를 CD-ROM에 한다. (위/변조가 거의 불가능하여 법적 효력을 갖는다.)
• 해커의 접속 차단 : 현재 접속한 해커의 접속을 끊음. (ex. 방화벽, TCPWrapper 같은 접근 제어 이용, 해커의 셸 프로세스 확인)
• 시스템 이미지 확보 : 2개(CD-ROM)를 만들어 1개는 법적 증거, 1개는 Forensic 용으로
• 운영자에게 통보

 

 

[memory dump & image]

FTK Imager download

 

RAM 메모리 상태를 저장하는 기능은 물론

하드디스크 이미지파일 까지 생성할 수 있다.

[Image File Analysis]

FTK Manager로 dump 뜬 결과물인

.mem 파일을 volatility 를 통해 분석해본다.

volatility 다운로드 링크

 

 

volatility.exe -f 덤프파일명 imageinfo // 운영체제 등 기본 시스템 정보를 파악하기 위함.
volatility.exe -f 덤프파일명 --profile=운영체제 pstree // 해당 운영체제의 실행중인 프로세스 트리 출력
volatility.exe -f 덤프파일명 --profile=운영체제명 netscan // IP, PORT 번호 등 

기본 사용 방법은 다음 사이트를 참고하자.

github.com/volatilityfoundation/volatility/wiki/Volatility-Usage#using-volatility

volatilityfoundation/volatility

---

[로그 기본 개념]

윈도우

• Event라는 중앙 집중화된 로그를 수집하여 저장 -> 관리가 용이
• 공격자가 한 로그만 삭제하면 되므로 위험, 로그에 대한 보안 수준이 낮은 편

유닉스 & 리눅스

• 로그를 여러 곳에 산발적으로 저장, 여러 곳에 저장된 로그는 찾기도 어렵다.
• 공격자도 로그를 모두 찾아 지우기 어렵다 

해커 입장에서는 자신의 'IP주소'를 들키지 않는 것이 중요하기 때문에 

대한민국과 공조수사가 어려운 러시아나 중국 IP로 2~3차례 우회하여 해킹을 시도한다.

 

 

[인증 vs 인가]

인증 : 자신의 신원(Identity)를 시스템에 증명하는 과정 (ex. ID/PW 입력)

인가: 시스템에 로그인 허락된 사용자(접근 허용여부)인지 판명하는 것.