휘발성 데이터 수집, 라이브 리스폰스

요즘 뭔가 블로그를 적어야 할 것만 같은 기분이 든다...

저번에는 사고대응 등에 대해 포스팅을 했다.

오늘은 휘발성 데이터 수집에 관련하여 내용을 적어볼 것이다.

휘발성 데이터는 말그대로 날아가는 데이터이다. 즉, 쉽게 말해 하드디스크에 저장되는 데이터 말고 메모리에 올라가 있거나 컴퓨터를 종료하면 없어지는 데이터들을 말하는 것이다.

휘발성 데이터 같은 경우에는 앞에서 말한 것처럼 컴퓨터를 종료하게 되면 사라지기 때문에 컴퓨터를 종료하지 않은 상태(실행되고 있는 상태)에서 진행을 한다.(경우에 따라 다름) - 라이브 리스폰스(live response)

그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까?

 - 시간, 날짜 정보

 - 네트워크 정보

 - 사용자 정보

 - 프로세스 정보 

 - 핸들 목록

 - 서비스정보 

 - 클립보드

 - dll 정보

 - 열려있는 파일 정보

 - 기타  등

여기서 중요하지 않은 데이터 정보는 단 하나도 없다, 모두 중요하단것이다!!!!

이러한 정보를 가지고 시스템의 상태를 파악할 수 있기 때문이다. 

휘발성 데이터를 수집하기 위해 시스템을 종료하지 않고 진행한다고 말했다. 만약 해커에게 공격당하는 중에 파일이 삭제가 되거나 와이핑 작업중이라면? 이러한 경우 위에서 경우에 따라 다름에 포함된다고 볼수 있다. 

이러한 경우에는 전원을 제거하는 것이 좋다. 물론 데이터가 손실될 수 있지만 삭제당하면서.....음 

잠깐의 생각 타임을 가져보자~!! 음~~~~~~~~~~

다시 본론으로 돌아가 해커에게 공격당하는 중 뿐아니라 작업을 했을 시 시스템에게 어떠한 영향을 줄수 있는 경우 전원을 제거한다.

또한 삭제되는 공격 같은거 말고 네트워크 공격 등을 당하고 있다면 우선적으로 네트워크 정보 등 필요한 것을 먼저 수집하고 종료해야한다.

흐하하항

수집을 하면서 알아둬야 하는 것이 몇가지가 있다. 

 - 일단 시스템에 영향이 최대한 안가게 작업을 해야한다. => 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다.

 - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다.

라이브 리스폰스 단계에서 영향을 받는 시스템 구성요소

1. 메모리  

  - 라이브 리스폰스를 하기위해 도구를 실행하면 프로세스가 새로 생성된다. 이때 메모리를 점유하면서 이전에 있던 메모리 영역을 덮어 씌어버린다.

  - 커널 오브젝트를 관리하는 시스템 테이블이 갱신되면서 새로운 항목 추가 또는 오래된 항목이 삭제된다.

2. 네트워크

  - 라이브 리스폰스 도구가 네트워크 기능이 있어 기능을 사용한다면 관련 로그가 생성된다,

  - 커널 오브젝트에 의해 관리되어 커널 테이블을 갱신한다.

  - 로그 갯수가 지정되어 있다면 오래된 로그가 삭제될수 있다.

3. 프리패치

  - 파일을 실행시키면 프리패치 파일이 생성됨(xp 는 120개 까지 생성가능 120개가 넘을 시 오래된 순서대로 삭제)

  - 최소 클러스터 하나 이상의 비할당 영역을 새로 할당 받아 사용

4. 레지스트리

  - 라이브 리스폰스 도구 같은경우 대부분 레지스트리에 접근한다. 이때 레지스트리에 마지막 접근 시간, 쓰기 등의 시간이 갱신되어 버린다.

5. dll

  - 실행시키는 도구 등이 dll을 필요로 하여 dll을 호출하면 접근 시간 등이 갱신되어 버린다.

6. 로그 파일

  - 에러가 발생한다면 이벤트로그가 발생되면서 중요한 로그를 밀어버릴 수있다.

휘발성 데이터의 정보를 수집하기 위해 2가지의 가이드라인이 제시되고 있다.

1. Guidelines for Evidence Collection and Archiving(RFC 3227) : https://www.ietf.org/rfc/rfc3227.txt

2. Guide to integrating Forensic techniques into Incident Response(NIST Special Publication 800-86) : http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf

RFC 3227 휘발성 정보 수집	NIST Special Publication 800-86 휘발성 정보 수집
registers, cache	network connections
routing table, arp cache, process table, kernel staistics, memory	login sessions
temporary file system	contents of memory (memory)
disk	running processes
remote logging and monitoring data that is relevant to the system in question	open file
physical configuration, network topology	network configuration
archival media	operating system time

정보 수집 순서를 100퍼 신뢰하지말고 상황에 맞게 수집하여야 한다.

꺄르르르르르를

쓰는데 배가 고파졌습니다 :( 히융