분류 전체보기218 [crescendo] Event Log Problem 03 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다. 제공된 이벤트 로그는 다음과 같다. 구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다. 1번부터 살펴보자. 1번은 설치된 비인가 프로그램의 실행파일 이름이다. 프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자. 비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자. 저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다. 오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다. 이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다. 실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을.. 2022. 4. 3. [crescendo] Event Log Problem 02 보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다고 한다. 1번부터 살펴보자. 1번은 첫 번째 원격 로그인 성립 시점을 구하라고 한다. 원격 로그인 접속 로그 확인은 이벤트 ID 중에서 21 : 세션 로그온 성공 25 : 세션 다시 연결 성공 을 사용하여 필터링 하면 된다. 그래서 해봤는데 안나왔다. 이게 아닌가보다. 다른 자료를 더 살펴보니, 로그온 유형 중 10번이 원격 로그온을 나타내는 것을 찾을 수 있었다. 로그온 유형 로그온 제목 설명 10 RemoteInteractive 사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격 로그온 로그온 유형을 살펴보기 위해 로그인 이벤트만 필터링 해야겠다. 로그인 이벤트 중 성공적으로 로그인 된 것은 ID 4624로 필터링 할 .. 2022. 4. 1. [Windows Forensic Artifacts - 1] Event Log 윈도우 아티팩트들에 대해 차례대로 정리해보려고 한다. 아티팩트는 소프트웨어가 동작하면서 자동으로 생성한 흔적을 표현하기 위한 용어이다. 쉽게 흔적이라고 생각하면 된다. 윈도우 아티팩트는 윈도우 운영체제에서 소프트웨어들이 동작하면서 남긴 흔적들을 의미한다. 첫 스타트는 이벤트 로그인데, 이벤트 로그가 무엇인지 살펴보자. 윈도우 이벤트 로그 - 윈도우 시스템이 동작하는 과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그 기록 [시스템의 성능, 오류, 경고 및 운용정보 등의 중요정보 기록 - 침해사고 대응에 더 유용] - 대부분의 기록을 담당 [시스템 on/off, 원격 네트워크 연결, 응용 프로그램 동작 여부, 시스템 관련 전반적인 모든 것] - 기록된 로그들은 각각 이벤트 ID 할당 [이벤트 ID.. 2022. 4. 1. [crescendo] Event Log Problem 01 도메인 컨트롤러가 침해당했고, Security 이벤트 로그를 통해 정보를 확인하라고 한다. 이벤트 로그는 더블클릭하면 이벤트 뷰어로 열리게 된다. 1번부터 순서대로 살펴보자. 가장 먼저 사용된 일반 사용자 계정의 이름을 구하라고 한다. 이벤트 로그에서 기록된 로그들은 각각 이벤트 ID를 할당받기 때문에 일반 사용자 계정 생성의 이벤트 ID를 찾아보자. ID가 4720임을 확인할 수 있다. ID를 아니까 현재 로그 필터링을 통해 필터링을 해보자 가장 먼저 생성된 것을 확인하면 되므로 두번째 이벤트 로그의 계정 이름을 확인해준다. 그럼 1번의 답은 JDazz인 것을 확인할 수 있다. 2번은 해당 일반 사용자 계정의 생성 시점을 구하라고 한다. 포맷은 YYYY-MM-DD hh:mm:ss (UTC+9 24hou.. 2022. 3. 31. 이전 1 ··· 5 6 7 8 9 10 11 ··· 55 다음 728x90
