[ccibomb@CRG]# _bykim

이벤트로그 분석 - USB 연결흔적 확인

USB 연결사실 확인

• Partition 이벤트로그에서 확인%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

• 이벤트로그 뷰어를 통해 확인

        - USB를 낄 때는 BytesPerSector, Capacity, Partitioncount 등 정보가 있으나, 

        - 뺄 때 로그에는 해당 정보가 없음(Partitioncount=0)

※ 예전 윈도우 버전에서는 DriveFrameworks에서 확인 가능하였으나, 현재는 디폴트가 사용안함

• MMA를 통해 Partition 로그 분석

• USB에 복사한 파일 확인
  • 단순히 copy/paste만 한 경우 : USB 연결/해제 사실 외에는 확인 불가
  • 일부 파일 열람 또는 윈도우 탐색기 필드 크기 변경 : RecentDoc, LNK, Shellbag에 생성시간 등 정보가 남음

※ 참고 : Registry Shellbag

• 쉘백은 최초로 폴더 열람시 생성
• 폴더를 생성/복사하는 경우에도 생성
• (경로)
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\Shell\Bags
• HKCU\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

• (참고) BagMRU
• MRUListEX가 있는데, 이는 최근에 열람한 순서 정보를 유지하고 있음
• 레지스트리 BagMRU key 시간에는 최초로 생성(최초 폴더 열람)될 때의 시간이 설정됨
• 폴더 설정 변경 시에는 Bags key 시간이 바뀜
• 현재 폴더 생성에 의해 상위 폴더의 key 시간이 갱신되면, 레지스트리 key 시간이 갱신됨
• 폴더 열람 순서를 MRUListEx value로 관리하기 때문
• -> 현재 폴더의 shellbag 시간은 하위 폴더가 열람됨에 따라 갱신될 수 있음을 의미함

이벤트로그 분석 목적

• 시스템 이상 징후 파악
• 침해 징후 파악
• 다양한 포렌식 분석 (시스템 시간변경 여부, 시스템 시작/종료 상태 등)

이벤트로그 분석 도구

• Log Parser 2.2 – http://www.microsoft.com/en-us/download/details.aspx?id=24659

• Log Parser Studio – http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765

     - GUI라서 분석은 편하나, 500MB 넘어가면 동작 잘 안하는 경우가 많음

•  MMA(Microsoft Message Analyzer) (2019/11/25 에 폐기됨)

     - 이벤트로그, 패킷분석, IIS로그 등 대부분의 윈도우 생성 로그들을 분석해줌.

     - 기능 아주 좋음! 이벤트 트레이스 로그까지 다 보여줌

• Sysmon (System Monitor)

     - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

     - 워낙 강력하다보니 공격자가 설치하여 사용하기도 함