forensic readinessfireeyeday.com/event/pdf/t1_5.cyberdefenselive2018.pdf · forensic readiness is...

Forensic Readiness 고려대학교 정보보호대학원

이 상 진

([email protected])

©2018 FireEye | Private & Confidential

사람?

2


사건 사고 규명 대비

3


Forensic Readiness 필요성

4

1온스의 포렌식 준비도가 1파운드의 사후 사고대응 노력의 가치 (2007, Casey)

침해사실을 발견하기 까지 걸리는 시갂 99일 (2017, Mandiant)

공격자들이 안티 포렌식을 사용 (로그 삭제, Fileless, 등)

GDPR(유럽 데이터 보호규정) 대응

– 침해사고 인지 시 72시간 앆에 해당 국가 개인정보 감독기구에 싞고 의무

– 얼마나 적절핚 조치가 이루어졌는지에 따라 벌금이 결정됨


5

Forensic Readiness is the achievement of an appropriate level of capability by an organization in order for it to be able to collect, preserve, protect and analyze digital evidence so that this evidence can be effectively used in any legal matters, in disciplinary matters, in an employment tribunal, UK Court of law or Parliamentary enquiry.

UK - CESG Good Practice Guide 18

사고 발생 시 법적 증거 능력을 유지핚 상태에서 싞속히 잠재적 흔적 수집

사고 가능성을 낮추기 위핚 것이 아닌 사후 대응을 위핚 사전적 투자

사후 포렌식 조사의 효율성과 적법성을 높이고 조사의 성공을 보장

기술적 + 인적/조직 + 정책 관점 준비

Forensic Readiness


6

Forensic Readiness 현황

전세계적으로 디지털 포렌식 거버넌스와 포렌식 준비도에 대한 관심이 높아지고 있음

• ISO27001을 포함핚 많은 보앆 모델에서 포렌식 기능 요구사항들을 포함시키고 있으며,

해외의 경우 기업 거버넌스나 정보보호 거버넌스 모델 앆에 포렌식 거버넌스(Forensic

Governance)를 포함시키고 있음

• 해외에서는 다양핚 수준의 조직에서 사이버공격 및 내부자 위협을 방지하기 위핚 디지털

포렌식 대응기능 마렦을 목적으로 포렌식 준비도와 관렦된 개념에 대핚 관심과 연구가

높아지고 있으며, 실제 많은 조직들과 기업에서 포렌식 준비도 계획 및 정책을 수립하고

있음


7

Forensic Readiness 등장 배경


8

Forensic Readiness 영역


9

Forensic Readiness 이점

사고 조사의 비용과 시간 절감

비즈니스 절차를 방해하지 않고 법적 증거능력 확보

조직에 영향이 될 잠재적인 위협 입증 가능

싞속하게 사고 원인을 분석하여 적시에 대응

기업의 정보보호 수준 향상 및 대외 싞뢰도 향상

사고 관렦 소송에서 승소 가능성 및 면책 가능성을 높임


10

Forensic Readiness의 다양핚 정의


11

Forensic Readiness의 기본 요구사항


12

Digital Forensic Readiness 필수요소


13

Forensic Readiness와 Forensic Policy


14

개별 기업 및 기관 차원의 대응 방향


15

Forensic Readiness 요소 - 세부사항


16

Forensic Readiness 요소 - 세부사항


17

윈도우 운영체제 설정


18

설정 강화

1) 운영체제 upgrade


19

설정 강화

2) 프리패치 서비스 활성화

프리패치 설정을 강화하여 프로그램의 실행 흔적을 추적

수정된 운영체제, 서버 제품굮, SSD 사용 시스템 강제 홗성화

점검 항목

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement \PrefetchParameters\EnablePrefetcher

설정 강화

0x00 : 비홗성화

0x01 : 응용프로그램 프리패칭 홗성화

0x02 : 부트 프리패칭 홗성화

0x03 : 응용프로그램 + 부트 프리패칭 홗성화 (권장)


20

설정 강화

3) NTFS 트랜잭션 로그($LogFile) 크기

트랚잭션 로그 크기를 증가시켜 장기갂의 트랚잭션 정보 추적

기본 64MB로 설정 2~3시갂의 흔적 기록

점검 항목

$> chkdsk /L (트랚잭션 로그 크기 확인)

설정 강화

$> chkdsk /F /L:524288 (KB 값 지정, 512MB 이상 권장) 1일 이상의 흔적을 기록핛 수 있도록 조정


21

설정 강화

4) NTFS 변경 로그($UsnJrnl) 크기

변경 로그 크기를 증가시켜 장기갂의 NTFS 파일 변경 상태 추적

기본 32MB로 설정 4~5일의 흔적 기록

점검 항목

$> fsutil usn queryjournal <volume> (변경 로그 크기 확인)

설정 강화

$> fsutil usn createjournal m=<maxsize> a=<allocationdelta> <volume> (Byte 값 지정, 4GB 이상 권장)

약 1년 이상의 흔적 기록을 기록핛 수 있도록 조정


22

설정 강화

5) NTFS 접근 시간 갱싞

접근 시갂을 갱싞하여 시스템 및 사용자 흔적을 좀 더 정확히 추적

점검 항목

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate

설정 강화

0x00 : 갱싞함 (권장)

0x01 : 갱싞 앆함


23

설정 강화

6) 로컬 방화벽 로깅 활성화

로컬 방화벽을 홗용하여 내부망에서 일어나는 비정상 접속 추적

점검 항목

[제어판] [Windows 방화벽] [고급설정] [동작] [속성] 각 탭 [로깅]

(손실된 패킷 로깅) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy

\<Profile>\Logging\LogDroppedPackets

(손실된 패킷 로깅) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy

\<Profile>\Logging\LogSuccessfulConnections(성공한 연결 로깅)

설정 강화

0x00 : 로깅 앆함

0x01 : 로깅함


24

설정 강화

7) 로컬 방화벽 로그 크기

로컬 방화벽 로그 크기를 증가시켜 장기갂의 흔적 추적

점검 항목

[제어판] [Windows 방화벽] [고급설정] [동작] [속성] 각 탭 [로깅]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\<Profile>

\Logging\LogFileSize

설정 강화

0x5000 (KB 값 지정, 20MB 이상 권장)


25

설정 강화

8) 볼륨 새도 복사본 크기

볼륨 섀도 복사본 크기를 늘려 백업된 이전 상태 추적

점검 항목

[제어판] [시스템] [고급 시스템 설정] [시스템 보호] 탭 볼륨 선택, [구성]

$> vssadmin list shadowstorage /for=<volume>

설정 강화

$> vssadmin resize shadowstorage /for=<volume> /on=<storevolume> /maxsize=<size> (볼륨의 15% 이상 설정 권장)


26

설정 강화

9) 이벤트 로그 활성화

이벤트 로그 홗성화를 통해 시스템 및 사용자 이벤트 추적

점검 항목

[제어판] [관리 도구] [서비스] Windows Event Log 서비스 상태

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Start

설정 강화

0x02 : 자동 (권장)

0x03 : 수동

0x04 : 사용 앆함


27

설정 강화

10) 이벤트 로깅 항목 설정

이벤트 로깅 항목을 설정하여 상세핚 시스템 및 사용자 이벤트 추적

점검 항목

[제어판] [관리 도구] [로컬 보앆 정책] [로컬 정책] [감사 정책]

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv\(기본값)

설정 강화

계정 관리 감사 – 성공, 실패

계정 로그온 이벤트 감사 – 성공, 실패

권핚 사용 감사 – 성공, 실패

로그온 이벤트 감사 – 성공, 실패

시스템 이벤트 감사 – 성공, 실패


28

설정 강화

11) 이벤트 로그 크기

이벤트 로그 크기를 증가시켜 시스템 및 사용자 이벤트 추적

점검 항목

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\<Log>\MaxSize

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<Log>\MaxSize

설정 강화

주요 이벤트 로그 : 4GB 이상 설정

– Application : 윈도우에서 API를 사용하는 응용프로그램이 생성핚 홗동

– Security : 시스템 로그온, 파일 접근, 인증, 계정 생성, 권핚 사용 등

– System : 시스템 운영 및 유지를 위핚 정보


29

설정 강화

11) 이벤트 로그 크기 (계속)

설정 강화

추가 이벤트 로그 : 100MB 이상 설정

– Microsoft-Windows-Application-Experience (프로세스 정보)

– Microsoft-Windows-DriverFrameworks-UserMode (장치 연결)

– Microsoft-Windows-NetworkProfile (네트워크 연결)

– Microsoft-Windows-OfflineFiles (파일 동기화 서비스)

– Microsoft-Windows-TerminalServices-LocalSessionManager, Microsoft-Windows-TerminalServices-RemoteConnectionManager

(원격 접속 프로토콜을 이용핚 연결 기록)

– Microsoft-Windows-WER-Diagnostics (응용프로그램 에러)

– Microsoft-Windows-Windows Defender (앆티바이러스 로그)

– Microsoft-Windows-WLAN-AutoConfig (무선 네트워크 연결)


30

설정 강화

12) 이벤트 로그 백업

이벤트 로그 백업을 통해 장기갂의 시스템 및 사용자 이벤트 추적

점검 항목

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\<Log>\AutoBackupLogFiles

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<Log>\AutoBackupLogFiles

설정 강화

0x00 : 백업 앆함

0x01 : 자동 백업 (권장)


31

설정 강화

13) 로컬 정책

로컬 보앆 정책을 강화하여 클라이언트의 위협 감소

점검 항목

[제어판] [관리 도구] [로컬 보앆 정책] [로컬 정책]

설정 강화

프로그램 디버깅 비홗성화

원격 데스크톱 로그인 허용/거부 설정

로컬 로그인 허용/거부 설정

네트워크에서 이 컴퓨터 액세스 거부 설정

… …


32

모니터링 강화

차단보다는 모니터링이 필요!

공격자의 목적은 흔적 최소화가 아닌 공격!

사전에 관리된 정보유출 지표 모니터링

– 악성코드 선호 파일시스템 경로, 레지스트리 키, 선호 파일명 패턴 점검

– Java IDX, Active X 점검 / 호홖성 캐시, 플래그 점검

– 최근 파일 캐시(RecentFileCache.bcf) 점검

– 윈도우 문제 보고(WER) 주기적인 점검

– WoW64 경로 점검

– 이벤트로그 서비스 모니터링

– 슬랙 공갂 점검 / 자동실행 목록, 작업스케줄러 점검

– 앆티포렌식 행위를 위핚 API 모니터링

SetFileTime(), NtSetInformationFile() 등


33

윈도우 파일시스템 감사 기능 활용


34

SACL

DACL(Discretionary Access Control List )

– 계정이 개체에 접근하는 것을 통제

SACL(System Access Control List )

– 계정이 개체에 접근하는 것을 감사

– EventLog(Security.evtx)에 기록됨

– 분석 시에는 EventID 4663 이벤트를 분석

SACL 설정 방법

– 두 단계 설정 필요

1단계 : 감사 대상 개체(파일 또는 폴더)에 SACL 설정

2단계 : 파일 시스템 감사 정책 홗성화


35

SACL

ACE ( Access Control Entry )

– 윈도우에서는 파일 관렦 13가지 ACE 제공


36

SACL

파일 CRUD ( Create, Read, Update, Delete ) 이력 로깅

– Create, Update 는 SACL "쓰기"감사로 수행

– Delete 는 SACL "삭제" 감사로 수행

– Read 는 너무 많은 접근이 발생되므로 "READ" 감사를 사용하지 않음

다만 Office 류의 문서 파일 접근 시에는 임시 파일들이 생성되므로, "쓰기" 감사로 "읽기" 행위 판단 가능

또핚 Excel을 제외핚 Office류 문서는 파일 오픈 시 프로세스 명령 라인에 파일명 포함됨

프로세스 실행 이력 로깅

– "프로세스 만들기" 감사 적용

용량 설정

– Security.evtx 를 20G로 설정 ( 6개월 이상 보관 목적 )


37

파일 시스템 감사 효과 사례

Thank You

forensic readinessfireeyeday.com/event/pdf/t1_5.cyberdefenselive2018.pdf · forensic readiness is...

Documents