보안관제와 로그 개요
보안관제
보안관제와 침해사고 분석
윈도우 : eventlog
리눅스 : syslog /var/log
text를 기반으로 작성됨, but binaray 형태로 저장되는것도 일부 있음
cat /var/log/messages
cat /var/log/auth.log | more
: 한페이지씩 보기 위해 more
/var/log/secure
crontab -l
crontab -e
cat /var/log/wtmp
: 사용자의 로그인/로그아웃, 시스템 부팅/셧다운 히스토리 정보
last
명령어로 뷰어를 통해 볼 수 있음cat /var/run/utmp
: 현재 시스템에 로그인한 사용자 상태 정보
who
, w
, finger
, users
를 통해 볼 수 있음. 하지만 버전별로 다를 수도 있음cat /var/log/btmp
: 로그인에 실패한 기록 저장
last -f /var/log/btmp
이런 식으로 file 형태 옵션으로 볼 수 있음cat /var/log/xferlog
: ftp나 ncftp 등의 접속 기록
sudo entstat -antp | grep : 21
으로 ftp 프로그램 확인syslog의 설정
/etc/syslog.conf
vi 에디터에서 :set nu 하면 줄에 숫자를 달 수 있음
cat /var/log/dmesg
cat /var/log/boot.log
리눅스 웹 로그 분석
locate httpd.conf
/var/log/apache2
안에 apache2 웹서버의 로그들이 있음
cat
, head
, tail
, strings
, grep
, awk
, sed
명령어 사용을 자유자재로 써야함
grep -i "file_upload.php" access.log.1
awk '{print $1, $7}' access.log.1 | more
awk '{print $1, $7}' access.log.1 | sort -u | more
awk '{$9 !~/200/}' access.log.1
awk '{$9 !~/200/}' access.log.1 awk '{print $1, $9, $7}' | sort -u | more
cat access.log.1 | grep post
윈도우 이벤트 로그 분석
시스템, 보안감사, 응용프로그램
XP -> evt, Vista => evtx
Binary -> Viewer (Parser같은 프로그램이 있어야함) => Window에서는 Event Viewer를 제공함
C\windows\system32\winevt\logs
에 있음application
, Security
, System
등이 있고 powershell
등의 로그가 있음Event Viewer : win+R -> eventvwr
secpol.msc
를 통해 보안 정책 설정에 들어가서 로컬 정책 -> 감사 정책에서 계정 로그온 이벤트 감사를 눌러 성공이나 실패를 눌러 적용하면됨Event Explorer : 윈도우 이벤트 로그 툴, 요게 더 나음
Event log 뿐만아니라 ETW (Event Tracing for Window) 도 있으니 참고
기본적인 보안 장비?
/etc/nsm/rules
sudo rule-update
sudo owasp-zap
F/W
2세대 방화벽
3세대 방화벽(IDS/IPS)
응용계층 방화벽, L7 방화벽
IDS(Intrusion Detection System)
IPS(Intursion Prevention System)
위 기능들을 합치면서 각 기업에서 한 분야에 특화된 방화벽을 제작하기 시작함
VPN, NAC, DRM, DLP, Web Filter
APT 방화벽, APT 이메일 솔루션, APT 악성코드 솔루션 등등.. APT 공격의 예방책은 있었으나 대응책이 없었음. APT말그대로 Advanded Persistent Threat처럼 고도화되었고, 목표를위해 영속적인, 위협을 대응하기에는 버거웠음
EDR(Endpoint Detection & Response)
EPP(Endpoint Protection Platform)
참고
방어자는 모든 취약점을 제거해야 하지만, 공격자는 하나의 취약점만 발견하면된다
공격자는 모든 흔적을 지워야하지만., 방어자는 하나의 흔적만찾아도 공격을 차단할 수 있다
Regular Expression, regexp, regex
특정한 규칙을 가진 문자열의 집합을 표현하는 형식적 언어
문자열의 검색과 치환을 지원
((010|011|017|019|018|016)-[0-9]{3,4}-[0-9]{4})
command execution 취약점을 정규표현식으로 보완
FTP => Data Port
HTTP, TFTP
HTTP
HTTPS
http
wireshark도 말고 이번엔 window에서 제공하는 networkminer 도구를 한번 사용해보자
tcprelay
명령어를 통해 sguil 툴로 확인할 수도 있음Malcious
virustotal.com에 file을 넣어서 바이러스가 있는지 확인할 수 있음
gar파일을 볼때는 zip파일로 변경하고 풀면됨
download by download
mitre attack에 모든 정리가 되어있음