침해사고 초기 대응 - 윈도우 [메모리, 아티팩트, 디스크 덤프] 수집

침해사고 초기 대응

침해사고 발생 시 해당 LAN선만 제거 후 침해사고대응팀에게 신고한다. 보통 LAN선과 컴퓨터를 종료하고 신고하는 경우가 많은데, 컴퓨터 종료 시 Volatility Evidence가 다 날아가기 때문에 침해사고 분석이 더욱더 어려워진다.

그럼 Volatility Evidence에는 어떤 것들이 있는지 알아보자.

 

＃1 시스템 정보

1. 시스템 시간

2. 클립보드 데이터

3. 실행중인 프로세스 정보

4. 현재 로그인한 계정 정보

5. 콘솔 명령

6. 메모리 덤프

 

＃2 네트워크 정보

1. ARP 테이블

2. IP, DNS 설정 정보

3. 통신중인 프로세스

4. 네트워크 환경 설정

5. 라우팅 테이블

6. 원격 사용자 정보

7. 원격 접근 파일

 

시스템 메모리 덤프 수집

메모리 덤프를 간단하게 뜰 수 있는 도구에는 FDPro.exe와 FTK Imager가 있는데 먼저 FDPro.exe 사용법에 대해 알아보자. cmd 창에서 간단히 FDPro.exe {덤프 뜰 파일명} 명령어를 입력하면 메모리 덤프를 수행할 수 있다.

FDPro.exe 명령어 사용

FTK Imager를 이용한 메모리 덤프도 매우 단순하다. 상단에 램카드처럼 보이는 모양을 클릭 후 "Capture Memory"버튼을 클릭하면 간단히 덤프를 뜰 수 있다.

 

주요 아티팩트 정보 수집

우선 디지털 포렌식 관점에서 아티팩트를 설명드리자면, 증거? 사용 흔적?들을 말한다. 운영체제와 프로그램들을 사용하면서 생성되는 흔적들이 해당된다. 윈도우에서는 레지스트리, 이벤트 로그 등이 이에 해당한다. 

아티팩트 정보를 수집하기 위해서는 forecopy 도구를 사용하여 수집한다.

 

수집하고 싶은 아티팩트의 정보를 옵션을 넣어 수집할 수 있는데, 모든 정보를 수집하기 위해 -mprteixc 옵션을 넣어 실행하겠다.

그럼 아래 그림과 같이 아티팩트 종류별로 폴더가 분류되어 정보들을 수집할 수 있다.

 

디스크 덤프 정보 수집

FTK Imager로 디스크 덤프를 뜰 수 있지만, DD for windows 도구를 사용하여 네트워크 드라이브 공유로 다른 PC로 덤프 파일을 전송할 수 있다.

dd --list 명령어로 해당 시스템의 볼륨 정보를 확인할 수 있고, 아래 노란색으로 표시된 명령어를 통해 외부로 디스크 덤프 파일을 전송할 수 있다. 디스크 덤프를 수행할 경우에 해당 하드 디스크만큼의 용량이 필요하기 때문에 이러한 방법을 사용한다.

dd.exe if=파티션 of=경로

그럼 다음 포스팅에서는 수집한 정보를 가지고 어떤 식으로 분석을 하는지 알아보겠다~