Yum_Yum

[Windows Artifacts] Registry

(1) Registry란?

• Windows OS 내의 설정과 선택 항목을 담고 있는 데이터베이스

  • 하드웨어

  • 소프트웨어

  • 대부분의 none-운영체제 소프트웨어

  • 사용자 PC 설정

  • 사용자 제어판 설정

  • 파일 연결

  • 시스템 정책

  • 설치된 소프트웨어 변경

  • 운영체제의 런타임 정보 커널에 제공

• 이전에는 이러한 구성 설정을 각 프로그램마다 INI 파일에 저장

  • But, 이러한 파일들은 파편화되어 관리 비용이 많이 듦

  • 이러한 연유로 윈도우 레지스트리 도입

(2) 레지스트리 상세 내용

2-1. Kind of

• Windows Database

2-2. Information

• Windows Setting and Activities

2-3. Path

• C:\Windows\System32\config\*

• %UserProfile%\NTUSER.DAT (OS dependency)

• %UserProfile%\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat 

2-4. Characteristic

• Hierarchical Structure, in memory at runtime, save as hive to disk

2-5. Tools

• Registry Explorer, RECmd

• REGA

2-5-1. Registry, RECmd : https://ericzimmerman.github.io

2-5-2. REGA : http://forensic.korea.ac.kr/tools.html

(3) 아티팩트 분석 실습

3-1. FTK Imager > Users > %UserProfile% > NTUSER.DAT

3-2. NTUSER.DAT(LOG) - Export Files

여기서 중요한 것은, 레지스트리 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 4]는 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

3-3. Registry Explorer 활용, 레지스트리 아티팩트 분석

여기서 LOG1과 LOG2 파일을 넣는 이유는, 하이브 파일은 대부분 같은 경로에 트랜잭션 동작을 위해 '트랜잭션 로그 파일'을 남긴다.

LOG 파일은 레지스트리의 적용되기 전의 보류 중인 트랜잭션 데이터를 하이브에 다시 저장하거나, 제거하기 위해 충분한 정보를 임시로 저장해놓는 파일이다.

따라서 해당 파일들을 같이 수집하여 분석 도구에 넣고 분석해줘야 정상 결과들이 출력된다.

3-4. CSV 파일 생성 및 분석 (Sublime Text3)

분석 진행을 위해 레지스트리 아티팩트를 CSV 파일로 만든 후, Sublime Text 3 프로그램으로 해당 파일을 오픈한다.

3-5. 테이블 & 컬럼 분석

FTK Imager에 대한 프로그램 정보를 예로 들어 설명한다.

• FTK Imager(Key name)는 프로그램에 대한 정보이며, 0은 Values 값, 2는 Sub Key, 2019-11-03 13:17:33은 마지막으로 사용한 시간 정보라는 것으로 확인가능

(4) 추가 내용 정리

• 윈도우 레지스트리는 Microsoft Windows OS에서 운영체제와 응용 프로그램 운영에 필요한 정보를 저장하기 위해 고안한 계층형 데이터베이스

• 부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자 행위 등 모든 활동에 관여

• 레지스트리 포렌식 분석의 필요성으로는 운영체제 정보, 사용자 계정 정보, 시스템 정보, 응용 프로그램 실행 흔적, 최근 접근 문서 등이 포함되며, 자동 실행 항목 분석이나 악성코드 탐지 등을 목적으로 함

• 레지스트리 분석의 포렌식 관점으로는 온라인 레지스트리 분석과 오프라인 레지스트리 분석으로 나뉨

• 온라인 레지스트리 분석은 활성 시스템에서의 레지스트리 분석을 뜻하며, 오프라인 레지스트리 분석은 비활성 시스템에서의 레지스트리 분석을 뜻함

• 하이브 파일은 레지스트리 정보를 저장하고 있는 물리적 파일로, 키 값들이 논리적인 구조로 저장되며, 활성 시스템의 커널에서 하이브 파일을 관리 (일반적 방법 접근 불가)

• 하이브 셋은 활성 시스템의 레지스트리를 구성하는 하이브 파일 목록이며, 하이브 파일은 다음과 같음

  • SAM

  • SECURITY

  • SYSTEM

  • SOFTWARE

  • Default

  • NTUSER.DAT

  • BCD

  • COMPONENTS

# Reference

http://index-of.co.uk/Forensic/A%20Forensic%20Analysis%20of%20the%20Windows%20Registry.pdf

http://dandylife.net/docs/Windows-Registry-Artifacts.pdf

https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html

https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md#types-of-files

codediver.tistory.com/attachment/cfile10.uf@999890335A20C43605E477.pdf

http://forensic-proof.com/ (FP) 레지스트리 포렌식과 보안 

[Windows Artifacts] $UsnJrnl

(1) $UsnJrnl이란?

• 응용 프로그램이 특정 파일의 변경 여부를 파악하기 위해 사용

• 파일의 생성 / 변경 / 추가 등의 파악할 수 있는 중요한 로그

• Windows 7 이후부터 기본 활성화, fsutil 이용하여 작업 가능

(2) $UsnJrnl 상세 설명

2-1. Kind of

• NTFS Filesystem Log 

2-2. Information

• File Event such as Create, Overwrite, Close, Rename, Added Data, Etc.

2-3. Path

• $MFT 10th Entry

2-4. Characteristic

• Enable tracking of deleted files.

2-5. Tools

• NTFS Log Tracker

• JP

• Log File Parser

2-5-1. NTFS Log Tracker : https://sites.google.com/site/forensicnote/ntfs-log-tracker

2-5-2. JP : https://tzworks.net/prototype_page.php?proto_id=5

2-5-3. Log File Parser : https://code.google.com/archive/p/mft2csv/wikis/LogFileParser.wiki

(3) 아티팩트 분석 실습

3-1. FTK Imager > Physical Drive > root > $Extend > $UsnJrnl > $J

3-2. $J - Export Files

여기서 중요한 것은, $UsnJrnl 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 4]는 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

3-3. NTFS Log Tracker 활용, $UsnJrnl 아티팩트 분석

분석 진행을 위해 $UsnJrnl($J) 아티팩트를 선택한 다음, 생성 될 DB 파일의 이름, 경로를 지정해주고 분석을 진행한다.

3-4. 분석(파싱) 완료 테이블 화면

3-5. 레코드 & 컬럼 분석

하나의 레코드를 기준으로 컬럼 분석 결과에 대한 내용이다. 

• 2020-04-07 03:01:50 = 타임스탬프이며, 이벤트가 발생한 시간

• 22080515264 = Update Sequence Number를 의미

• JavaScript = 해당 파일에 대한 이름

• File Created, File Closed = 이벤트에 대한 정보를 의미

• Normal = 변경 이벤트를 발생시킨 주체에 대한 정보를 의미

• Compressed, Directory = 변경 이벤트의 대상이 되는 객체에 대한 정보를 의미

(4) 추가 내용 정리

• $UsrJrnl은 보다 안정적인 파일 시스템 사용을 위해 Windows 7 이상에서 사용하는 파일 변경 이벤트 관리 로그 파일

• 응용 프로그램이 특정 파일의 변경 여부를 파악하기 위해 사용하며, 레코드 단위로 순차적 저장하여 관리 (식별 값 사용 - USN(Update Sequence Number)

• 레코드에는 파일에 어떠한 변화가 일어났는지에 관한 정보가 담겨 있기에 정확하게 분석한다면 $LogFile을 통해 얻은 정보와 조합하여 강력한 데이터의 흐름 정보를 얻을 수 있게 됨

• 내 컴퓨터에서 다음과 같은 명령어로 실제 유저 저널링 데이터가 저장되고 있는지 확인 가능

  • fsutil usn readJournal C : 유저 저널링 데이터가 쌓이지 않는다면, 다음 명령어로 강제 유저 저널링 데이터를 생성하게 끔 설정 필요

  • fsutil usn createJournal C : 추가로 NTFS Log Tracker 도구에서 출력해주는 컬럼 정보 중 일부 컬럼 정보는 다음과 같음

    • SourceInfo 컬럼, 운영체제 생성 파일, 디렉토리 변경 정보 컬럼, 예를 들어 데이터를 외부에서 로컬로 이동 시에 flag 형태로 값 기록, 0x1, 0x2, 0x4 flag 값 존재, 각 flag 값은 다른 방식으로 데이터가 이동되었다를 의미

    • Carving Flag 컬럼, $UsnJrnl 표준 구조에는 없는 컬럼, 도구 제작자가 커스텀하게 생성한 컬럼으로 추정, 데이터 카빙(복원) 성공 여부 도구에서 표현해주는 각 컬럼은 도구 제작자에 의해 편의성을 고려해 추가되거나 합쳐진 컬럼들이 존재할 수 있음

[표 1] $UsrJrnl 파일 표준 컬럼

# Reference

• http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf

[Windows Artifacts]  $LogFile

(1) $LogFile이란?

• NTFS 트랜잭션 로그 파일

• 작업 중 갑작스런 파일 손실 시, 복구를 위해서 사용

• 모든 트랜잭션 작업 레코드 단위로 기록

• 트랜잭션이란?

  • job A = "시작-작업, 1-작업, 2-작업, 3-완료"

  • '작업 2' 실패 시 '시작' 상태였던 당시로 모든 데이터 회귀

  • 모든 '작업 1, 2, 3' 완료 시, 데이터 변경 수행 

(2) $LogFile 상세 내용

2-1. Kind of

• NTFS Filesystem Log

2-2. Information

• Record Unit Event Such as Create Dir/File, Delete Dir/File, Change Dir/File, Etc.

2-3. Path

• MFT 2nd Entry

2-4. Characteristic

• Need to Translate that Record Unit Event

• Enable tracking of deleted files.

2-5. Tools

• NTFS Log Tracker

• JP

• LogFileParser

2-5-1. NTFS Log Tracker : https://sites.google.com/site/forensicnote/ntfs-log-tracker

2-5-2. JP : https://tzworks.net/prototype_page.php?proto_id=5

2-5-3. LogFileParser : https://code.google.com/archive/p/mft2csv/wikis/LogFileParser.wiki

(3) 분석 실습

3-1. FTK Imager > Physical Drive > NTFS 파일 시스템 root 디렉토리에 $LogFile 존재

3-2. $LogFile - Export Files

여기서 중요한 것은, $LogFile 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 4]는 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

3-3. NTFS Log Tracker 활용, $LogFile 분석

분석 진행을 위해 생성될 DB 파일의 이름과 저장 경로를 선택한 다음, 파싱을 진행한다.

3-4. 분석(파싱) 완료

3-5. 레코드 & 컬럼 추가 설명

• 102061788477 = 각 작업 레코드는 고유의 LSN($LogFile Sequence Number)을 가짐

• 2020-04-07 02:09:21 = UTC +9를 기준으로 이벤트 시간, 생성 시간, 수정 시간, MFT 수정 시간, 접근 시간 을 뜻함

• File Creation = 해당 파일에 대한 이벤트를 뜻함

• $MFT = 파일의 이름을 뜻함

• Initialize File Record Segment = Redo(작업한 데이터)를 뜻함

• 0x1260 = Target VCN으로 Redo 데이터가 적용되는 $MFT 상의 Virtual Cluster Number를 뜻함

• 2 = 클러스터 인덱스이며, MFT 엔트리가 있는 하나의 클러스터 내에서 몇 번째 엔트리에 해당하는지에 대한 값을 뜻함 

(4) 추가 내용 정리

• $LogFile은 NTFS 트랜잭션 로그파일이라 불리며, 시스템 오류나 갑작스런 전원 차단 발생 시에 작업 중이던 파일 복구를 위해 사용 됨

• 모든 트랜잭션 작업을 레코드 단위로 기록

• MFT Entry 번호, 변경된 속성, 수정된 위치, 값 등 변경 전과 후의 모든 정보를 상세하게 기록

• $LogFile은 본래 파일 시스템 복구 기능을 위해 존재하는 파일이지만, 사고 분석 시에 삭제된 악성코드 혹은 포렌식 시에 삭제된 문서들을 복원하는 데 유용한 아티팩트

• 로깅된 파일이 실제 데이터 영역 n번째 클러스터에서 write 되었는지 파악할 수 있기에 복원이 가능한 원리

• 삭제된 파일은 $MFT 엔트리에서도 Overwrite 될 수 있어 $MFT에는 없지만 $LogFile에 남아 있으면 삭제되었다고 판단할 수 있으며, 복원 가능성도 있음

• $LogFile의 각 작업 레코드는 순차적으로 증가하는 식별 값(LSN)을 가지며, 이것을 해석하기 위해서는 최종적으로 $MFT와 교차하여 파일 단위 이벤트(생성, 삭제, 수정, 이름 변경) 해석이 필요

(5) 내 컴퓨터 $LogFile 확인

내 Desktop에 얼마나 큰 $LogFile을 남기는지 확인할 수 있는 명령어는 다음과 같다.

• cmd(명령 프롬프트)를 관리자 권한으로 실행하고, chkdsk.exe /L을 입력하게 되면 [그림 9]와 같은 결과 창을 확인 가능 

# Reference

• http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf

[Windows Artifacts]  $MFT

(1) $MFT란?

• NTFS 파일 시스템의 가장 핵심적인 부분

• 모든 파일에 대해서 적어도 한 개의 엔트리 소유

  • 삭제된 비할당 파일 포함

• MFT는 파일에 대한 메타데이터 저장

  • 파일명, 크기, 생성/수정/접근 일자, 속성 등

• 실제 데이터는 'Data Area'(데이터 영역)에 저장

(2) $MFT 상세 내용

2-1. Kind of

• NTFS FileSystem Metadata

2-2. Information

• File's All Metadata

2-3. Path

• $MFT

2-4. Characteristic

• Variable Path, VBR offset, 48-55, Logical cluster Number for the file $MFT

2-5. Tools

• MFTExplorer

• MFTECmd

• Mft2Csv

• analyzeMFT

2-5-1. MFTExplorer, MFTECmd : https://ericzimmerman.github.io

2-5-2. Mft2Csv : https://github.com/jschicht/Mft2Csv

2-5-3. analyzeMFT : https://github.com/dkovar/analyzeMFT

(3) 분석 실습

3-1. FTK Imager > Physical Drive  > NTFS 파일 시스템 root 디렉토리에 $MFT 파일 존재

3-2. $MFT 파일 Export Files

여기서 중요한 것은, $MFT 파일 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 5]는 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해준 화면이다.

3-3. MFT Explorer 분석

3-4. 하나의 테이블 선택, 각각 컬럼 분석

• 해당 정보는 Download 폴더에 대한 정보이며, 옆에 체크 항목은 디렉토리인지, 삭제된 파일인지에 대한 정보

• 시간은 $SI (Standard_Information) 과 $FN (File_Name) 두 속성으로 구분

• 각각 생성 시간, 수정 시간, 접근 시간, 레코드 변경 시간이 기록

• 그 외에 체크 항목은 타임스탬프에 대한 여부, 복사본에 대한 여부

• 도구 하단에서는 해당 파일에 대한 상세 정보와 Hex 값을 자세하게 분석 및 확인이 가능

• 도구 좌측에서는 폴더 / 파일 특정 선택과 Properties 체크를 따로 구분하여 확인 가능

(4) 추가 내용 정리

• 윈도우 사용자라면 기본적으로 많이 사용되는 NTFS 파일 시스템을 사용함에 있어 파일에 대한 메타데이터 파일(파일 정보, 위치 등)을 담고 있는 파일을 $MFT라고 함

• MFT 영역은 MFT 엔트리들의 집합으로써 MFT Record 또는 File Record 라고 불리며, NTFS 내에 존재하는 모든 파일 또는 디렉토리는 파일 당 하나 이상의 MFT 엔트리가 할당 됨

• MFT 엔트리는 1024byte 크기로 각 파일 및 디렉토리 위치, 시간 정보, 파일 이름, 크기 등의 속성 정보를 담고 있음

• $MFT 파일은 각 파일 정보를 기록하는 단위인 MFT 엔트리의 나열로 이루어져 있으며, MFT Entry에는 연결되는 파일의 MAC(수정, 접근, 생성)시간을 비롯하여 MFT 엔트리 자체를 수정한 시간도 기록

• MFT 엔트리는 파일 정보를 기록하기 위해 여러 가지 속성을 활용하는 데, 이때 시간 정보를 기록하는 속성은 $Standard_information 속성과 $File_Name 속성이 존재

• $Standard_information은 플래그, MAC(수정/접근/생성)시간, 소유자와 보안 ID 등의 정보를 저장

• $File_Name은 파일 이름(Unicode), MAC(수정/접근/생성)시간을 저장

• MFT 분석 도구인 MFT Explorer는 한 눈에 쉽게 보기 편한 장점이 있지만, 파싱 속도가 매우 느리다는 단점을 가지고 있어 속도면에서는 analyzeMFT 또는 mft2csv 같은 CLI 버전 도구 권장

다음은 $Standard_information과 $File_Name 속성을 이용한 시간 속성 분석법 자료이다.

#Reference

• https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download

[Incident Response] 초기 침투(Initial Access)

(1) Initial Access : Overview

• 조직 네트워크 내에서 초기 발판(foothold)을 확보하기 위한 기술

예시)

• 스피어피싱 메일 발송

• 워터링 홀 + DBD(Drived-by Download) 취약점에 의한 악성코드 감염

• 인터넷에 공개된 사내 웹 서버 취약점 악용 (SQL Injection, File Upload)

• 기타 등등 

(2) Drive by Compromise

• 일반적인 웹서핑 과정에서 악성 웹 사이트를 방문했을 때, 사용자의 웹 브라우저 내에 취약점 존재 시 악용 가능 (난이도 높음)

• 종종 워터링 홀 공격과 같이 엮어서 표적 공격으로도 활용 가능 

• Oauth 토큰 탈취나, 피싱 페이지를 이용한 정보 탈취로도 사용 가능 (난이도 낮음)

2-1. 일반적인 유포 기법

• 이미 침해에 성공한 일반적인 웹 서버에 Javascript 나 HTML 객체 삽입

• 합법적인 광고 제공 업체를 통해 광고 내에 삽입 (멀버타이징, Malvertising)

• 포럼 게시글, 댓글 등에 XSS 취약점을 이용한 Javascript 나 HTML 객체 삽입

• 워터링 홀 기법과 결합하여 유포

2-2. 일반적인 분석 방법

• 악성 파일 / 프로세스 생성 일자 확인

• 웹 브라우저 로그 수집 및 분석

• 악성 파일 / 프로세스 생성 시점 근처에 접속했던 사이트 리스팅

• 인텔리전스 평판 조회

• 분석 환경에서 접속하여 Javascript 혹은 HTML 코드 인수

• 입수한 코드를 분석하여 추가 행위 분석

• 악성 파일 / 프로세스 생성 시점 근처와 이후에 생성된 파일 리스팅

• 생성된 악성 파일 존재 시 분석 필요

2-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

2-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• F/W 로그

• E-MAIL 필터링 로그

• Vaccine 로그

• ETC

(3) Exploit Public-Facing Application

• 조직 내 인터넷에 공개된 서비스에 취약점 존재 시 악용 가능

• 주로 웹, 데이터베이스 서버에 대한 공격 대다수

예시)

• 웹 서버

• 데이터베이스 서버

• SMB 서버

• SSH 서버

• 기타 공개형 서비스

3-1. 일반적인 공격 기법

• 일반적으로는 인터넷에 공개된 서비스에 대해서 무차별 취약점 스캐닝 수행

• 가장 많이 노출된 웹 서버에 대한 공격 대다수

• OWASP TOP 10 / CWE TOP 25 : ATT&CK 매트릭스와 비슷한 컨셉의 공개 가이드라인

3-2. 일반적인 분석 방법

• 웹 쉘 존재 시 생성 일시 확인

• 침해 증상 존재 시 발생 일시 확인

• 일시 확인 후 웹 로그 조사

• 웹 로그 조사 후 최초 공격 성공 일시 확인

• 웹 서비스 취약점 확인

• 최초 공격 성공 일시 시점부터 이후에 수행된 악성 행위 확인

• 생성된 악성 파일 존재 시 분석 필요

3-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

3-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• WAF 로그

• F/W 로그

• Vaccine 로그

• ETC

(4) External Remote Services

• VPN, Windows RDP 등 외부에 오픈 된 서비스에 불법적으로 접근하는 기법
• 이러한 외부 원격 접근 메커니즘에 의해 사용자는 기업 내부 리소스에 접근 가능

4-1. 일반적인 공격 기법

• 사전에 유출 된 / 수집한 자격 증명(Credential) 사용

• VPN에 연결 된 사용자 PC 악성코드 감염

• 패스워드 브루트포스(Bruteforce)

• VPN, RDP 등 신규 취약점 악용

4-2. 일반적인 분석 방법

• 이벤트 로그 내의 불법적인 접근 기록 확인 필요

• 원격 서비스 인증을 위한 유효한 정상 계정의 악의적 사용 탐지 필요

예시)

• 인증 로그 수집

• 비정상적인 접근 패턴

  • 비정상적인 활동 시간 (정상 업무 시간 이외의 시간에 접속)

  • 비정상적인 지점 (한국이 아닌 중국, 러시아 등)

  • 비정상적으로 많은 접근 실패

  • 기타

4-3-1. 일반적인 아티팩트 (호스트 환경)

• 이벤트 로그

• ETC

4-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• VPN 로그

• F/W 로그

• ETC

(5) Hardware Additions

• 공격자는 컴퓨터 액세서리 또는 네트워킹 하드웨어를 시스템 또는 네트워크에 도입하여 조직 내부에 접근하는 발판(foothold)으로 사용 가능

• APT 그룹이 실제 사용했다는 공개된 레퍼런스는 드문 기법

예시)

• 수동 네트워크 태핑

• MITM 암호화 브레이킹

• DMA 이용한 커널 메모리 읽기

• 기존 네트워크에 대한 새로운 무선 액세스 추가

• 기타 등등

• 즉, 악의적인 용도의 하드웨어 사용

(6) Replication Through Removable Media

• 악의적인 사용자는 이동식 매체에 악성코드를 복사하고, 직/간접적으로 목표 시스템에 매체가 삽입되어 실행될 때 자동 실행 기능을 활용하여 연결이 끊어지거나 망분리 된 네트워크에 발판(foothold) 설치 가능

• 내부 전파의 경우, 확보한 발판(foothold) 시스템에 이동식 매체가 삽입 시 매체에 저장된 실행 파일을 수정하거나 악성코드를 복사하고 합법적인 파일처럼 보이도록 파일 명을 변경하여 정상 사용자가 다른 시스템에서 실행하도록 기만

예시)

• SCADA(산업제어시스템) 해킹

• 스턱스넷

• 기타 다수의 USB용 악성코드 및 활용 사례 존재

(7) Spearphishing Attachment / Link / via Service

7-1. Spearphishing

• 특정 개인, 조직 또는 비즈니스를 대상으로 하는 전자 메일 또는 전자 통신 기기

• 악성 객체를 열어보게 끔 그럴듯한 유혹으로 기만

• 난이도가 낮지만 가장 많이 성공하는 공격으로, 공격자가 애용

7-2-1. Spearphishing Attachment

• Spearphishing 메일에 악성 파일 첨부하는 방식

• MS Office, PDF, ZIP, HWP 등 많은 옵션 존재

7-2-2. Spearphishing Link

• Spearphishing 메일에 악성 링크 첨부하는 방식

• 악성 링크에는 다운로드 링크 혹은 익스플로잇 코드 링크 포함

7-2-3. Spearphishing via Service

• 조직 내부 메일 주소가 아닌 타사 서비스로 Spearphishing 

• 일반적으로 SNS 등을 통해 친분 관계 형성 후 악성 객체 전달 

예시)

• 몸캠

• 매력적인 사진으로 프로필 사진 등록 후 SNS 메시지 등으로 접근

7-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 이메일 로그 (Outlook, MS Mail, Web-browser-log, etc)

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsrJrnl:$J, $LogFile

• ETC

7-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• E-MAIL 필터링 로그

• F/W 로그

• Vaccine 로그

• ETC

(8) Supply Chain Compromise

• 최종 소비자가 제품을 제공받기 전에 제품 또는 제품 제공 메커니즘을 조작하여 데이터 또는 시스템 침해

8-1. 일반적인 유포 기법

• 개발 도구 변조

• 개발 환경 변조

• 소스 코드 리포지토리 변조 (공개 또는 개인)

• 인기 있는 오픈 소스 변조하여 종속성  존재하는 소스 코드까지 감염

• 소프트웨어 업데이트 / 배포 매커니즘 조작

• 감염된 시스템 이미지 (감염된 채로 출시되는 이동식 매체)

• 합법적인 소프트웨어를 수정된 버전으로 교체

• 합법적 유통 업체에 변형 / 위조된 제품 판매

• 배포 혹은 공급망 강제 차단 

분석 방법 및 아티팩트는 매우 광범위하고 다양하다.

(9) Trusted Relationship

• 공격자는 의도한 피해자에게 접근할 수 있는 조직을 침해한 후 이용 가능

• 조직은 종종 클라우드 기반 환경 뿐만 아니라, 내부 시스템을 관리 / 접근할 수 있도록 타사 협력 업체에게 높은 권한 부여

• 타사 협력 업체가 내부 네트워크 / 시스템에 접근하기 위해 사용하는 유효 계정이 손상되어 악용 가능

예시)

• IT 서비스 계약자 - 백신 공급업체 엔지니어, ...

• 관리 보안 공급자 - 헬프데스크 직원, 관리 업체 직원, ...

• 인프라 계약자 - 엘리베이터 관리 직원, ...

(10) Valid Accounts

• 조직 내부망 침투를 위해 공격자는 유효한 자격증명(Credential)을 얻으려고 노력하며, 그러한 다양한 방법들은 위에서 소개

• 이러한 유효한 자격증명(Credential)을 이용하면 공격자는 합법적인 사용자처럼 네트워크를 이동 가능

• 이러한 유효한 자격증명(Credential)을 이용하면 정상과 식별 / 분리하기 어려우므로 방어자는 탐지하기 난해

• 유효한 자격증명(Credential)의 종류에는 여러가지 존재

예시)

• 기본 계정(Built-in)

  • Windows 시스템 상에서는 게스트, 관리자 등 계정

  • 기타 OS, S/W 장비에서는 기본 공장용(factory) 계정, 공급자 설정 계정 등 장치 상에 내장된 계정

  • 오픈 소스 등에 초기 설정되어 있는 계정도 포함

  • 반드시 초기 설정되어 있는 계정을 변경하여 사용 필요

• 로컬 계정(Local)

  • 일반 사용자, 원격 지원, 서비스 또는 단일 시스템 또는 서비스 관리를 위해 필요에 의해 조직에서 구성한 계정

• 도메인 계정(Domain)

  • AD(Active Directory) 도메인 서비스가 관리하는 계정

  • 해당 도메인의 일부인 시스템 및 서비스에서 접근 / 권한 구성 가능

  • 도메인 관리자(Domain Admin) 계정은 사용자, 관리자 및 서비스 등 모든 AD 내의 계정들을 다루는 것이 가능하므로 공격자의 최종 목표

# Reference

https://attack.mitre.org/

[Incident Response]  ATT&CK Attack Framework

(1) ATT&CK Attack Framework 개념, 용어, 활용 방안

1-1. 개념

• ATT&CK IQ 플랫폼은 전 세계에서 가장 권위 있고 포괄적이며, 최신 공격 기술과 지원 전술의 집합인 MITRE ATT&CK 프레임워크를 자동으로 사용

• ATT&CK 지식 기반은 기업, 정부 등 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법 개발을 위한 기반으로 사용

• 사이버 공동체에서의 MITRE 위상과 ATT&CK 매트릭스에서의 지적 재산권의 독립성은 보안 운영 관리, 임원진 및 이사회가 사이버 보안 통제 성과, 위험 및 능력을 객관적으로 평가하고 측정할 수 있는 이상적인 플랫폼

• ATT&CK 기술 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기반으로 사용

• ATT&CK의 설립으로 MITRE는 보다 효과적인 사이버 보안 개발을 위한 커뮤니티를 모아 안전한 세상을 위한 문제를 해결하는 사명을 완수

1-2. 용어

• MITRE ATT&CK는 실제 관찰에 기반한 적의 전술과 기술에 대한 전 세계적으로 액세스 가능한 지식 기반

• MITRE는 킬 체인(Kill Chain)을 확장하여 다양한 전술을 포함시켰으며, 상세한 기술에 의해 뒷받침됨

• MITRE ATT&CK는 적대적 행동의 가장 크고 심도 있고 조직적이고 강력하게 뒷받침되는 지식 기반

1-3. 활용 방안

• 조직화된 접근 방식으로 보안 컨트롤을 검증하는데 필요한 공격을 체계적으로 선택하고, 보안 컨트롤 세트를 합리적으로 확장하기 위해 격차를 파악하는 데 도움이 됨

• 보안 컨트롤을 정밀하게 검증하고 보안 틈새에 대한 가시성 확보

• 잠재적인 공격자가 활용할 수 있는 전술과 기법에 대한 잘 알려진 분류법을 가지고 있으므로, 이해 관계자나 사이버 수비수 및 공급 업체가 위협의 정확한 특성과 이를 무력화시킬 수 있는 사이버 방어 계획의 객관적인 평가에 대해 명확하게 의사소통할 수 있도록 하는 공통 어휘집 제공

• 보안 컨트롤이 올바르게 구성되었는지, 예상대로 수행되었는지, 예상 투자 수익을 제공하는지 등을 즉시 확인할 수 있으므로 매우 유용

• MITRE ATT&CK 지식 기반을 통해 전술적 경험을 전략적 위협 인텔리전스 기능으로 전환 가능

• 보안 프로그램의 개별 자산이 특정 공격에 어떻게 대응하는지 식별 가능

• 최소한의 Onboarding만으로 사용하기 쉽고, 현재 보유하고 있는 보안 기술과 통합    

(2) ATT&CK Attack Framework 활용 Life Cycle, Cyber Kill-Chain 설명

2-1. 사이버 공격 라이프 사이클 (Life Cycle)

• 사이버 공격 라이프 사이클은 록히드 마틴의 사이버 킬 체인, 통합 CKC, MITRE 등과 같이 다르게 개발된 킬 체인의 기본

• 기본 단계나 단계는 동일하며, 사용과 개발은 그들이 본 것과 원하는 방법에 따라 다름

• MITRE는 직접 경험을 바탕으로 사이버 공격 라이프 사이클을 이용한 킬 체인 단계를 자체적으로 개발하였으며, 이를 ATT&CK라고 부름

• 어떤 조직이 사이버 공격 라이프 사이클을 채택할 때, 그들은 탐지하는 것에 집중하기 위해 방어하려고 함

• 사이버 공격 라이프 사이클은 공격 방법에 대해 패턴화 시킨 것을 뜻함

1. Initial Compromise : 공격자가 대상에 악성코드나 백도어를 설치하는 단계

2. Establish Foothold : 공격자가 실행하는 단계

3. Escalate Privilege : 공격자가 서버에서의 권한을 높이는 단계

4. Internal Reconnaissance : 내부 정찰 단계이며, 다른 시스템으로 이동하기 위해 탐구하는 단계

5. Move Laterally : 공격자가 목표로 하는 시스템으로 이동하는 단계

6. Maintain Presence : 지금은 필요한 정보나 데이터가 없을 수도 있지만, 목표를 위해 유지하는 단계

2-2. 사이버 킬 체인 (Cyber Kill-Chain)

• 공격 라이프 사이클에 대한 방법으로 공격자가 공격을 진행할 때, 이 부분을 집중적으로 모니터링하여 공격자가 다음 공격을 진행하기 전에 끊어버리자는 방어 전술을 의미

• 다음 단계로 진행을 하지 못하게 하면 공격자는 최종 목표를 달성하기 어려움

• 즉, 공격자가 이미 우리 내부 네트워크에 침입해있다는 것을 가정하고, 방어하는 전략

• 원래는 실제 세상의 군사 용어에서 나온 전략

• 사이버 공격을 각 단계별로 분석하여, 각 단계에서 발생하는 위협 요소 파악 및 대응을 통해 모든 공격을 막을 수는 없지만 피해 최소화는 가능

• 크게 정찰(Reconnaissance), 무기화 전달(Weaponization and Delivery), 익스플로잇 / 설치(Exploit and Installation), 명령 및 제어(Command and Control), 행동 및 탈출(Action and Exfiltration) 단계로 구성될 때, 각각의 단계는 방어자 입장에서 공격 전과 공격 후로 나눌 수 있음

• 공격 전 단계에서 체인을 끊어내는 게 이 전략의 목표

• 프로세스상에 따른 대응이므로, 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명할 때, 자주 언급되는 전략 중 하나

2-2-1. 단계별 사이버 킬 체인(Cyber Kill-Chain)

2-2-2. 록히드 마틴 사이버 킬 체인(Cyber Kill-Chain)

• 록히드 마틴은 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 인지하고, 공격 시작부터 종단까지 통합된 프로세스를 보여주는 사이버 킬 체인 모델을 제시

• 이 모델에 따라 공격 단계가 심화되기 전, 다음 단계의 대응 조치나 여러 단계들 중 한 단계의 시행을 사전에 막는 등 방어를 통해 공격자의 반복적이고 변칙적인 시도도 미리 대비할 수 있을 것

(3) ATT&CK Attack Framework TTP 12개 전술 설명

3-1. TTP(Tactis(전술) / Techniques(기법) / Procedure(절차))

• Tactis(전술) : 특정 위협 주체가 공격 기간 동안 단계적으로 수행한 위협 및 공격 방법을 의미 (사례화)

• Techniques(기법) : 특정 위협 주체가 공격 기간동안 중간에 결과를 얻기 위해 사용하는 해킹 및 기술

• Procedure(절차) : 특정 위협 주체가 공격 기간 동안, 각 단계에서 사용한 실제 공격 접근 방법 및 실제적 움직임

3-2. Tactis(전술) 12개 설명

1. 초기 접속(Initial Access) : 악성코드 유포 및 첨부 파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성 행위를 위한 초기 진입 방식

2. 실행(Execution) : 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술

3. 지속(Persistense) : 공격 기반을 유지하기 위한 전술이며, 운영체제에서 사용하는 파일을 공격자가 만든 악의적 파일로 대체하여 지속적인 악성 행위를 수행하거나, 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당

4. 권한 상승(Privilege Escalation) : 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술이며, 시스템의 취약점이나 구성 오류 등을 활용하고, 높은 권한을 가진 운영체제로 악의적 파일을 삽입하는 기법 또는 시스템 등록 기법 등으로 권한 상승

5. 방어 회피(Defense Evasion) : 공격자가 침입한 시간 동안 탐지당하는 것을 피하기 위해 사용하는 전술이며, 보안 소프트웨어 제거 및 비활성화, 악성코드 난독화 및 암호화가 포함되며 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지

6. 접속 자격 증명(Credential Access) : 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술로, 정상적 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적 달성을 위해 더 많은 계정 생성 가능

7. 탐색(Discovery) : 공격자가 시스템 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술이며, 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향 정하기 가능

8. 내부 확산(Lateral Movement) : 공격자가 네트워크에서 원격 시스템에 접근한 후에 이를 제어하기 위해 사용하는 전술이며, 공격자는 자신의 원격 접속 도구를 설치해 내부 확산 수행이나 운영체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근

9. 수집(Collection) : 공격자가 목적과 관련된 정보 또는 정보 출처가 포함된 데이터 수집을 위해 사용하는 전술이며, 데이터를 훔치고 유출하는 것이 목적

10. 명령 및 제어(Command and Control) : 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술

11. 유출(Exfiltration) : 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술이며, 공격자는 데이터 탐지 회피를 위해 데이터 압축이나 암호화 후에 전송이나 데이터 크기 제한을 설정하여 여러 번 나누어 전송하는 방식 사용

12. 임팩트(Impact) : 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작 및 중단시키고 나아가 파괴하는 데 사용하는 전술

# Reference

https://attack.mitre.org/

http://www.igloosec.co.kr/BLOG_%EC%82%AC%EC%9D%B4%EB%B2%84%ED%82%AC%EC%B2%B4%EC%9D%B8(Cyber%20Kill%20Chain)%EB%AA%A8%EB%8D%B8%EC%9D%84%20%ED%86%B5%ED%95%9C%20SIEM%EC%9D%98%20%ED%99%9C%EC%9A%A9?searchItem=&searchWord=&bbsCateId=1&gotoPage=1