[ccibomb@CRG]# _bykim

• Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
  • 원격데스크톱 연결이벤트를 수신하면 가장 먼저 발생하는 이벤트로 이후에 사용자 인증 진행

• Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
  • 원격데스크톱 연결의 사용자 인증 완료 후 진행되는 세션 관련 이벤트

• Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx
  • 원격데스크톱 연결 요청 이벤트

• Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx

시스템 시간 변경 관련 이벤트로그

1. 커맨드라인 명령어 

- 방법 : date/time 명령

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

2. 날짜 및 시간 애플릿

- 방법 : 제어판 -> 날짜 및 시간

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

Microsoft-Windows-DateTimeControlPanel%4Operational.evtx (ID 20000)

3. 날짜 및 시간 윈도우

- 방법 : Windows 설정 -> 시간 및 언어 -> 날짜 및 시간

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

4. 시스템 자동 동기화 (by svchost.exe)

이벤트로그 분석 - USB 연결흔적 확인

USB 연결사실 확인

• Partition 이벤트로그에서 확인%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

• 이벤트로그 뷰어를 통해 확인

        - USB를 낄 때는 BytesPerSector, Capacity, Partitioncount 등 정보가 있으나, 

        - 뺄 때 로그에는 해당 정보가 없음(Partitioncount=0)

※ 예전 윈도우 버전에서는 DriveFrameworks에서 확인 가능하였으나, 현재는 디폴트가 사용안함

• MMA를 통해 Partition 로그 분석

• USB에 복사한 파일 확인
  • 단순히 copy/paste만 한 경우 : USB 연결/해제 사실 외에는 확인 불가
  • 일부 파일 열람 또는 윈도우 탐색기 필드 크기 변경 : RecentDoc, LNK, Shellbag에 생성시간 등 정보가 남음

※ 참고 : Registry Shellbag

• 쉘백은 최초로 폴더 열람시 생성
• 폴더를 생성/복사하는 경우에도 생성
• (경로)
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

• (참고) BagMRU
• MRUListEX가 있는데, 이는 최근에 열람한 순서 정보를 유지하고 있음
• 레지스트리 BagMRU key 시간에는 최초로 생성(최초 폴더 열람)될 때의 시간이 설정됨
• 폴더 설정 변경 시에는 Bags key 시간이 바뀜
• 현재 폴더 생성에 의해 상위 폴더의 key 시간이 갱신되면, 레지스트리 key 시간이 갱신됨
• 폴더 열람 순서를 MRUListEx value로 관리하기 때문
• -> 현재 폴더의 shellbag 시간은 하위 폴더가 열람됨에 따라 갱신될 수 있음을 의미함

이벤트로그 분석 목적

• 시스템 이상 징후 파악
• 침해 징후 파악
• 다양한 포렌식 분석 (시스템 시간변경 여부, 시스템 시작/종료 상태 등)

이벤트로그 분석 도구

• Log Parser 2.2 – http://www.microsoft.com/en-us/download/details.aspx?id=24659

• Log Parser Studio – http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765

     - GUI라서 분석은 편하나, 500MB 넘어가면 동작 잘 안하는 경우가 많음

•  MMA(Microsoft Message Analyzer) (2019/11/25 에 폐기됨)

     - 이벤트로그, 패킷분석, IIS로그 등 대부분의 윈도우 생성 로그들을 분석해줌.

     - 기능 아주 좋음! 이벤트 트레이스 로그까지 다 보여줌

• Sysmon (System Monitor)

     - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

     - 워낙 강력하다보니 공격자가 설치하여 사용하기도 함

윈도우 이벤트로그(Windows EventLog)

• 모든 로그를 한 곳에 모으는 중앙집중화 방식으로 윈도우 NT부터 현재까지 사용됨
• 이벤트로그 경로 : %SystemRoot%\System32\winevt\Logs\*.evtx
• 윈도우Vista 이후부터 XML 기반의 이벤트로그 포맷변경 (EVT ➔ EVTX)
• 윈도우Vista 이후부터 응용프로그램/서비스로그가 추가됨(300여개이상)

기본 이벤트로그

1. 시스템 (System)

• 윈도우 시스템 구성요소에서 기록한 이벤트 (드라이버 및 구성요소 로드오류 등)
• 기록할 이벤트 유형은 미리 결정되어있음

1. 응용프로그램 (Application)

• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정

1. 보안 (Security)

• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트 기록
• 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)

1. 설치 (Setup)

• 응용프로그램 설치 및 설정과 관련한 이벤트 기록

1. 전달된 이벤트 (ForwardedEvents)

• 이벤트 가입을 통해 원격컴퓨터에서 수집한 이벤트를 저장하는데 사용

추가된 이벤트로그

1. 응용프로그램 및 서비스 로그

1. Microsoft-Windows-<application/component>.evtx

• 단일 응용프로그램 또는 구성요소의 이벤트를 저장

이벤트 로그 설정

1. 주요 이벤트로그 레지스트리 설정 (regedit)

• HKLM\SYSTEM\ControlSet00#\services\eventlog

1. 감사정책 설정 (gpedit.msc)

• GPEDIT.MSC → [컴퓨터구성] → [Windows 설정] → [보안설정] → [로컬정책] → [감사정책]

1. 이벤트로그 크기 및 백업 설정

• 시스템, 응용프로그램, 보안로그 기본크기 : 20MB
• 그 외 로그 : 1,048 KB 내

이벤트로그 뷰어

1. 윈도우 기본 프로그램 (eventvwr)

※ 이벤트 ID 검색 : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx, http://eventopedia.cloudapp.net/

이벤트로그 파일 구조

※ 참고 : gflow-security.tistory.com/entry/Windows-Artifact6-EventLog

// Evtx의 Record는 각각 xml 형태로 저장됨

이벤트로그 복구방법

1. 이벤트 로그 파일 카빙

• “Windows Event Log” 서비스 종료 후 파일삭제 ➔  파일 생성시간을 통해 삭제여부 확인

1. 이벤트 레코드 카빙

• “이벤트뷰어”의 “로그지우기” 기능으로 이벤트 삭제 ➔  파일은 원본 그대로 유지
• 이벤트로그를 백업해 두었다가 삭제한 경우

1. 이벤트 로그 카빙 도구

•  EvtxCarv, https://github.com/kkoha/EvtxCarv

이벤트로그 삭제방법

1. 자주 사용하는 이벤트로그 삭제 방식

• [이벤트뷰어] → [동작] → [로그지우기]
• wevtutil 명령을 이용한 삭제
  • $> wevtutil { cl |  clear-log }   <LOG_NAME> [/OPTION:VALUE]

2. 시큐리티 로그 삭제 이벤트는 시큐리티 로그에 쌓임(ID 1102)

3. 시큐리티 로그 외 모든 로그 삭제 이벤트는 시스템 로그에 쌓임(ID 104)

[X-Ways Forensics] 25 E-mail 분석

• X-ways에서 pst 분석 -> eml 및 첨부파일 등 압축해제 후 분석 가능

• raw mode에서 email header 분석 가능

AXIOM도 같은 기능 제공한다.

 - 헤더를 보여주고, Sender 등 분석 용이하다.

메일의 내용이 중요한 경우에는, e-Discovery 툴을 사용한다.

ex. Nuix(국내에서 가장 많이 사용함)를 이용해 Processing 후,

     Relativity를 이용해 분석, 리뷰한다.(관련 유사 이메일 등 분석해줌)

※ 아이디어 - 

일명 '나이지리안 스캠'을 방지하기 위해서는,

결제시 2차 인증을 의무화 하면 예방 가능하다고 생각된다.

중소기업뿐 아니라 대기업도 같은 수법으로 큰 금액의 사기를 당하기도 하니..

ex. LG화학 200억 사기당함(2016년)

www.kita.net/cmmrcInfo/cmmrcNews/cmmrcNews/cmmrcNewsDetail.do?pageIndex=1&nIndex=59733&sSiteid=1&searchReqType=detail&searchCondition=TITLE&searchStartDate=&searchEndDate=&categorySearch=1&searchKeyword&logGb=A9400_20200831

[X-Ways Forensics] 24 Timeline 분석

• Extract internal metadata, browser history and events -> meta data 컬럼에 추가

• 모든 Event들을 시간순서에 따라 타임라인 분석

※ Plaso(log2timeline) -> AXIOM에서 구현됨, X-ways도 Timeline 분석기능 있음

[X-Ways Forensics] 23 Signature Analysis

Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.

대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이

문제의 소지가 될 수 있으므로, 

기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.

Signature

어떠한 파일타입인지를 나타내는 코드

보통 파일의 앞 부분

JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작한다.

수사과정에서는 음란물 검색, 웹쉘 검색(업로드 취약점 이용) 등에서 주로 활용한다.

Signature 분석 전

Signature 분석 수행

Signature 분석 결과

※ EnCase를 활용한 Signature 분석과 비교 : ccibomb.tistory.com/358

FuzZy 해시(FuzZyDoc)

문서 (워드, PPT, Excel, Email, TXT 등)의 텍스트 내용을 통해 일치여부를 식별할 수 있는 기능이다.

내용이 대체로 동일한 문서 (예 : 동일한 레터 헤드로 동일한 회사에서 생성 한 송장)는

동일한 텍스트의 양에 따라 중요한 세부 정보 (청구 지 주소, 가격)가

변경 되더라도 알고리즘에 의해 유사한 것으로 간주한다.

동일한 내용의 파일의 형식(.doc -> .pdf, .hwp 등)이 변경된 경우에도 유사한 것으로 간주한다.

Hwp 파일은 default 설정이 아니므로 간단히 추가만 해주면 가능함

1) 기본 default 세팅으로 Fuzzy 검색하면 hwp은 탐지 안됨

2) X-ways내 hwp viewer도 내장되어 있으므로, 간단히 hwp만 추가해주면 확인 가능

3) hwp 파일도 FuzzyDoc을 통해 유사도 100% 확인됨

(실습) NTFS Image.e01에서 RC4.pdf 파일의 FUZZY 해시를 계산하고 해시셋을 만들고,

만들어진 FUZZY 해시와 동일한 파일을 Ext2 Image.e01에서 검색하자

1) FUZZY 해시셋 만들기

2) FUZZY 해시 검색

3) 유사도 확인