[침해사고 대응] 3. 초기대응 단계

초기 대응 단계에서는 시스템, 네크워크 관리자 및 조직의 책임자, 보안담당자, 법률가 등으로 구성된 침해사고대응팀이 소집되거나 만들어져야한다. 침해사고대응팀(이하 CERT)은 해당하는 상황이 침해사고인지 판단하여 사고가 사업 및 사용자들에 미치는 영향과 법률적 측면 등의 다양한 점을 검토해야 한다.

 

무엇보다도 초기대응 단게에서 중요한 것은 완전한 분석이 아니라 차후 조사에 필요한 자료를 수집, 사고의 확산을 방지하는 것이다.

 

정밀 조사를 위한 자료 이중화 전, 컴퓨터 재부팅 및 조사를 하며 변경이 불가피한 자료, 시간이 지남에 따라 변화하는 자료 등 휘발성 자료(Volatile Date)를 수집하는 것이 주목적.

 

+) 네트워크에 대한 모니터링 실시, 로그 파일 및 시스템 주요 설정 파일 등을 저장하는 작업을 해야한다.

 

[조사 도구 준비]

피해 시스템에서 사용할, 신뢰할 수 있는 분석도구를 준비한다.

침입 당한 시스템의 경우 분석도구가 변형되거나 본래의 기능을 못하는 경우가 많다.

모든 분석 도구들은 가능하면 정적으로 컴파일하여 사용하도록 한다. 불가능할 경우, 신뢰할 수 있는 라이브러리들을 사용한다.

 

[분석 도구/명령]

• netstat: 네트워크 연결 상태 및 라우팅 테이블 정보를 확인
• dd: 디스크 이미지를 복사
• find: 특정 조건에 해당하는 파일 찾기
• netcat: 다목적 네트워킹 도구
• cyptcat: 암호화 기능을 제공하는 netcat.
• ls: 디렉토리 내용 출력
• ps: 현재 시스템에서 실행중인 프로세스 상태
• lsof: 모든 열린 파일을 출력
• strings: 파일에서 스트링 문자를 출력
• last: 사용자, 터미널에 대한 로그인, 로그아웃 정보 출력
• ifconfig: 네트워크 인터페이스 설정 상태 출력
• uptime: 시스템이 얼마나 오랫동안 운영되고 있는지에 대한 정보를 보여줌.

[정보 저장]

피해시스템의 하드디스크에 저장하는 것보단 외장형 HDD, USB, DVD 디스크, 테입드라이브 등에 저장해 시스템 변경을 최소화한다.

 

[휘발성 데이터 수집]

• 시스템의 재부팅 시 사라지는 자료를 수집
• 최근에 열린 소켓, 활성화된 프로세서, RAM에 있는 데이터, 링크가 없어진 파일들의 위치를 수집
• 시스템에서 완전히 지워지기 전의 자료(location of unlinked files) 수집

[휘발성 데이터 수집 방법]

신뢰할 수 있는 쉘(Shell)을 이용한 조사.

• X Windows-Based에서 명령을 실행할 경우 Keystrokes(키 스트록 저장)같은 공격을 당할 수 있으므로 사용을 지양한다.
• 피해시스템의 경우 루트킷, 트로이잔 등을 설치해 쉘 자체가 정상적인 결과를 보여주지 않는 경우가 있으므로 USB, CD-ROM, 테입드라이브, 플로피 디스트에 미리 준비한 쉘과 조사툴을 사용하는 것이 좋다.

    * $ mount /dev/fd0 /mnt/floppy

 

피해시스템에 로그인 중인 사용자 확인

• W 명령을 통해 접속한 사용자 계정이 모두 정상적인지 확인
• 접속출처가 정상적인 위치인지 확인. (내부 IP주소 이외에서 접속, 국외 IP 주소에서 접속한 경우 의심할 것)
• 사용자들의 행위가 정상적인지 확인 (scan 틀을 실행하고 있거나 타 시스템을 대상으로 서비스 거부 공격을 하고 있는지 확인.)

 

추가 정리......