로그
시스템, 네트워크 등에서 발생한 상태를 시간순으로 기록한 데이터
공격자들은 시스템 침해 이후 로그를 삭제하려고 함
Window 로그 시스템
윈도우는 자체 이벤트 시스템이 있어 Event Log에 저장함
이벤트는 EVTX 파일 포맷으로 저장하는데 EVTX는 XML 구조를 가진 바이너리 파일
디폴트 경로는 C:\Windows\System32\winevt\Logs\
Windows 로그 종류
| Application 로그 | 각 응용 프로그램이 기록하고 앱 충돌, 오류 메시지, 예외 처리 등 확인가능 |
| System 로그 | OS 구성요소가 기록. 부팅 실패, 서비스 중단, 장치 오류 등 확인가능 |
| Security 로그 | local security authority, Winlogon 등 기록, 권한 상승 기록, 프로세스 실행 추적 등 |
| Setup 로그 | 윈도우 설치나 업데이트 관련 이벤트 기록 |
윈도우 로그에 기록되는 정보는 크게 System/Event Data 영역으로 구분됨
System: 모든 이벤트가 같은 포맷, 생성한 서비스명/이벤트 ID/심각도/생성 시간 등이 기록, 보안 솔루션에서 필터링하는 정보
EventData: 이벤트 종류에 따라 포맷이 다르고 사용자 ID/실행 파일/경로 등이 포함돼 구체적 정황 파악에 도움
보안 관점에서 주의해야 하는 이벤트
1. 외부 유출/무단 접근 시도
Event ID:2003~2006
채널: Driver Frameworks
→ 외부 저장 장치 삽입을 기록함, 허가된 외부 장치인지 확인 필요
2. 원격 제어/세션 접근 시도
Event ID: 1149
채널: Remote Connection Manager
→ RDP(remote desktop protocol)나 원격 제어 도구 사용이 정보 요출 경로가 될 수 있어 로그분석 필요
3. 안티포렌식
Event ID: 4616
채널: Security
→ 일반 사용자가 시스템 이벤트 로그를 접근하는 일은 드물기 때문에 침해 흔적 은폐 시도로 볼 수 있음
4. 프로세스 실행 및 조작
Event ID: 4672
채널: Security
→ 악성코드가 실행되면 시스템 내부에서 하나이상의 프로세스가 생성되는데 악성파일을 드롭하거나 감염 확산도 가능, 이런 조작 행위는 일반 사용자 패턴과 구분되므로 로그를 통해 탐지해야함
Sysmon Log
운영체제 기본 감사 로그가 놓치는 행위를 보강하기 위해 등장함
프로세스 생성 포함 29개 이벤트로 구성+프로세스 간 관계, 네트워크 연결 등등 기록
sysmon 드라이버가 모니터링해서 이벤트를 감지하면 sysmon 서비스가 기록
sysmon 주요 이벤트 ID
| 1 | 프로세스 생성 | 어떤 명령이 언제 실행되었는지 파악 가능 |
| 2 | 네트워크 연결 | 특정 프로세스가 외부로 접속한 IP, 포트 확인가능 |
| 8 | 다른 프로세스에 스레드 생성 | DLL 인젝션, 쉘코드 실행 탐지 |
| 11 | 파일 생성 | 공격자가 특정 경로에 파일을 드롭한 흔적 포착 |
| 13 | 레지스트리 값 설정 | 공격자의 지속성 유지 수단 탐지 |
| 26 | 파일 삭제 | 어떤 파일이 누구에 의해 삭제되었는지 기 |