Live Response

- Live Response

 ● 활성화된 시스템에서 휘발성 정보를 수집하는 것을 말함.

 ● 시스템이 꺼지게 되면 휘발성 정보는 날아가기 때문에 OOV(Order Of Volatility)를 고려하여 정보를 수집한다.

- OOV(Order Of Volatility) [RFC 3227](http://www.ietf.org/rfc/rfc3227.txt)

 ● 레지스터, 캐시

 ● 네트워크 연결 정보

 ● 프로세스 목록, 커널 통계정보, 메모리

 ● 임시 파일, 열린 파일 목록

 ● 로그, 사용자 정보

 ※ 꼭 정해진 순서는 없다. 상황에 따라 정보를 수집해야 한다.

- Live Response 조사시 유의할 점

 ● 로카르트의 교환법칙

   ◇ 두 객체가 접촉하면 반드시 무언가가 교환된다.

   ◇ 이 법칙은 Live Response 시 정보를 수집하기 위해 프로그램을 실행한다던지 로그인을 한다던지 등의 행위들에 따라 시스템에 영        향을 줄 수 있다. 이러한 행위 때문에 중요한 정보들을 잃을 수 있으므로 시스템에 영향을 최소화 하는 방식으로 Live Response를        수행해야 한다.

   ◇ 메모리, 네트워크, 프로패치 파일, 시스템의 레지스트리(접근시간 변경), 시스템의 DLL(접근시간 변경), 로그파일 등 영향을 미칠         수 있다.

 ※ 관리자 권한을 얻기 위해 다시 시스템에 로그인 하는 것은 잘못된 방법이다. 이유는 로그오프하고 다시 로그인을 하게 되면 해당 세션의 휘발성 정보를 잃게 된기 때문이다. 오 놀라워라.... 따라서 이 분은 윈도우에서 runas와 같이 리눅스에 sudo?나 su?처럼 일시적으로 관리자 권한을 얻어 프로그램을 실행시킬 수 있는 명령어를 추천했다.

- Live Response 휘발성 정보 수집

 ● 시스템 시간

   ◇ 해당 시스템의 시간 정보를 수집하고 윈도우 명령어를 통해 레지스트리에 기록이 남지 않도록 할 수 있다.

 윈도우 명령어 : date /t & time /t

 출력 : 2013-10-19

    오후 8:56

 ● 네트워크 연결 정보

   ◇ 방화벽이 있다면 방화벽 로그를 수집해야 한다. 방화벽엔 휘발성인 세션로그와 커스터마이징 할 수 있는 로그가 따로 있다. 세션로

 그는 방화벽에 붙은 세션정보를 일시적으로 볼 수 있기 때문에 먼저 수집하는 것이 좋다. 그리고 커스터마이징 할 수 있는 로그 차  단로그를 많이 쓴다고 알고 있다.(예전 일할 때 차단로그를 주로 사용) 방화벽에 의해 허용 및 차단 로그를 모두 저장하게 된다면 방  화벽 부하가 크기 때문에 서비스의 문제가 생길 수 있어서 차단된 로그만 저장한다고 알고 있다. 룰에 의해 차단된 로그를 확인하여  의심할 만한 정보를 수집할 수 있을 것이다. 또한 해당 시스템의 네트워크 정보를 알아보기 위해 netstat 윈도우 명령을 이용하여 네  트워크 정보를 수집한다. 옵션이 너무 많아 스스로 보는것이 중요하다 생각한다.

 ● 프로세스 목록

   ◇ 프로세스 목록을 수집하여 해당 시스템에서 어떠한 행위가 일어났는지 확인해 봐야한다. tasklist 명령이나 SysInternalSuite에서 제공하는 Pslist를 많이 사용한다. PID, PPID를 통해 의심이 될만한 정보를 찾는 경우도 있고, 숨겨진 프로세스를 찾아내야 하는 경우도 있다.

 ● 핸들 정보

   ◇ 핸들에 경우 개인적으로 공부를 해보았다. 핸들이 무엇이고 이 핸들을 통해서 무엇을 알아야 하는지가 중요하다 생각했다.

 핸들은 응용프로그램이 시스템 자원(커널 오브젝트)에 접근할 수 있도록 하게 하는 것을 말한다. 응용프로그램은 시스템 자원에 직  접 접근이 불가능하기 때문이다. 윈도우에서 내부적으로 오브젝트를 직접 접근할 수 있도록 테이블을 만들어 이 테이블의 인덱스  값을 이용하도록 했다. 그리고 이를 확인하기 위해서는 커널 디버깅을 통해서 확인할 수 있는데 밑에 슬라이드에서 자세한 내용이  나와있다.

 (http://www.slideshare.net/JoosaengKim/windows-handle-2-24604055)

 그리고 핸들이 실제로 가리키고 있는 오브젝트는 레지스트리에 기록이 되어 있어서 SysInternalSuite에서 만든 Handle.exe를 통해  레지스트리 정보 수집을 할 수 있다.

[그림 1] 응용프로그램과 커널오브젝트 관계도 

(http://www.hauri.co.kr/customer/security/colum_view.html?intSeq=107&page=1)

   ◇ 커널 오브젝트는 다른 프로세스와 공유가 가능하기 때문에 이를 악용하면 다른 정상적인 프로세스를 제어하는 악성코드가 발생할        수 있다. 이것 뿐만아니라 다른 측면에서도 필요한 정보일 수도 있는데 이 부분은 점차 공부하면서 알아보도록 하겠다.

 ● DLL 목록

   ◇ http://blog.naver.com/PostView.nhn?blogId=process3&logNo=20017834792

   ◇ http://blog.naver.com/PostView.nhn?blogId=bolin1479&logNo=80154007392

   ◇ http://mayu.tistory.com/9

   ◇ http://www.reversecore.com/40

   ◇ DLL이 무엇이고 DLL Injection 관련한 내용이 있는 사이트를 링크시켜 놓았다. DLL Injection이나 7.7 DDoS와 같이 서비스로 등록하여 실제 구동되는 DLL파일 등 DLL 관련하여 침해사고가 발생되곤 한다. DLL과 관련된 침해사고라면 프로세스에서 사용되는 DLL 목록을 수집해야 한다. DLL 목록을 수집하기 위해 SysInternalSuite에서 만든 ListDlls.exe 도구가 있다.

 ● 로그온 사용자 정보

   ◇ 원격에서 로그온 한 사용자, 로컬 로그온 사용자 정보를 확인해야 한다.

 명령어 : net session(원격 로그온 사용자)

 SysInternalSuite : psloggedon(원격&로컬 사용자), Logonsession(원격&로컬 사용자, 해당 사용자가 실행한 프로세스 목록 출력)

 ● 파일 핸들

   ◇ 보류...공유폴더까지....

 ● 히스토리

   ◇ 명령 프롬프트에서 사용된 명령어들을 수집하는 것이다. 참고로 명령 프롬프트가 닫히면 그 전 정보들은 사라진다.

 ● 윈도우의 서비스 정보

   ◇ 악의적인 서비스가 등록 되었는지 확인해야 한다. 서비스 목록을 얻기 위해 SysInternalSuite의 Psservice.exe를 사용한다.

 ● 시작 프로그램 목록 정보

   ◇ 시스템이 부팅할 때 자동적으로 시작되는 프로그램이 있는데 악성코드 경우 이를 많이 활용한다. 레지스트리에 등록되어 있는데 이를 출력하기 위해 사용되는 툴은 SysInternalSuite의 autorunsc.exe가 있다.

 ● NetBios 정보

   ◇ NetBios는 근거리 데이터 통신을 위한 것으로 TCP/IP 기반으로 통신이 이루어진다. 상대방과 데이터를 교환할 경우 600초 동안 테이블 형태로 생성이 되고 이를 Cached NetBios Name Table이라고 한다. 또한 NetBios에서 세션모드, 데이터그램 모드가 있으며 세션모드는 연결성립, 메시지 처리를 하고 데이터그램 모드는 응용 프로그램이 통신 에러의 발견 및 회복을 수행, 브로드캐스트 지원을 한다.

침해사고 시 근거리 네트워크 정보를 수집할 수 있다.

 명령어 : nbtstat [옵션]

 ● 프로세스 메모리

   ◇ 프로세스의 가상 메모리를 뜻하며 해당 프로세스가 어떤일을 하는지 분석할 수 있도록 덤프를 떠야한다. MS사에서 제공하는              userdump.exe가 있고, 단 해당 프로세스가 정지하고 있어야 정확한 덤프가 가능하다는 점이 단점이다.

- 마지막으로

 ● 이 뿐만아니라 여러가지 방법으로 여러가지 정보를 더 얻을 수 있다고 생각한다. 아직 부족한 실력이라 책을 중점적으로 다루면서 공부를 했지만 다소 아쉬운 점이 많다. 현재 배치스크립트를 아주 간단하게나마 작성했는데 집에가서 문제를 한 번 풀어보면서 실습을 해봐야겠다...