Windows Artifact[6] - EventLog[2]









이번 포스팅에서는 이벤트로그 분석방법에 대해서 살펴 보겠습니다.


-------------------------------------------------------------------------------------------------------------------------------------



1. 분석

앞서 포스팅에서 이벤트로그와 관련댄 구조와 저장경로를 살펴보았습니다. 이번 포스팅에서는 이벤트로그 분석방법에 대해서 알아 보겠습니다. 이벤트로그에는 사용자가 윈도우 시스템을 사용하면서 행했던 다양한 정보가 저장되어 있어 포렌식을 수행함에 있어 꼭 분석을 해야 하는 아티팩트입니다.


  1) EVT 분석

 EVT파일을 이용한 이벤트 로그 분석 시 아래 항목에 대한 데이터를 추출하여 분석 및 활용할 수 있습니다.


속성

설명

Record Number

기록된 이벤트의 번호

Time Generated

이벤트가 작성된 시간

Event ID

특별한 이벤트 유형을 식별하는 값. 예를 들어 6005는 이벤트로그 서비스가 시작될 때 발생되는 이벤트ID.

Event Type

이벤트의 심각도를 분류하여 나타낸다. 정보(Information), 경고(Warning), (오류)Error, (심각)Critical, 성공감사(Success Audit), 실패 감사(Failure Audit) 로 구분.

Event Category

이벤트 카테고리

Event Scource

이벤트를 기록한 소프트웨어 (이벤트가 일어난 프로세스)

Computer

컴퓨터 이름

Strings

설명에 사용된 문자열

[표 1] EVT 속성




  2) EVTX 분석

EVTX파일을 이용한 이벤트 로그 분석 시 아래 항목에 대한 데이터를 추출하여 분석 및 활용 할 수 있습니다.



속성

설명

Source

이벤트를 기록한 소프트웨어 (이벤트가 일어난 프로세스)

Event ID

특별한 이벤트 유형을 식별하는 값. 예를 들어 6005는 이벤트로그 서비스가 시작될 때 발생되는 이벤트ID.

Level

이벤트의 심각도를 분류하여 나타낸다. 정보(Information), 경고(Warning), (오류)Error, (심각)Critical, 성공감사(Success Audit), 실패 감사(Failure Audit) 로 구분.

User

이벤트 발생에 대한 사용자의 이름

Operational Code

응용 프로그램에서 이벤트가 발생했을 때 활동이나 시점을 식별하는 숫자 값을 포함.

Log

이벤트가 기록된 로그의 이름입니다.

Task Category

이벤트 게시자의 하위 구성요소 또는 활동을 표현하는데 사용.

Keywords

이벤트를 검색하거나 필터링 하는데 사용할 수 있는 범주 또는 태그의 집합. ex) "네트워크", "보안", "리소스를 찾을 수 없습니다."

Computer

이벤트가 발생한 컴퓨터의 이름.

Date and Time

이벤트가 기록된 날짜 및 시간.

Process ID

이벤트를 생성하는 과정에 대한 식별번호.

Thread ID

이벤트 생성 쓰레드의 식별번호.

[표 2] EVTX 속성



3) 주요 이벤트 ID

일반적인 윈도우 로그 모니터링 시 참고하여야 할 이벤트에 대한 항목은 다음과 같습니다. 다음 표에 작성된 이벤트를 기준으로 시점기반 피해시스템 진단 시 해당 이벤트 영역을 집중적으로 분석합니다. 또한 마지막에는 다양한 이벤트로그중에서 분석가가 심도있게 봐야할 항목을 추려 놓았습니다.


범주

이벤트ID

이벤트ID

이벤트명

설명

권한이 없는 컴퓨터 사용 이벤트

528

4624

로그온 성공

워크스테이션 이름 및 사용자 계정 이름을 확인하십시오. 원본 네트워크 주소가 네트워크에 있는지 확인하십시오.

529

4625

로그온 실패 알 수 없는 사용자 이름이거나 암호가 틀림

대상 계정 이름이 Administrator이거나 변경된 기본 관리자 계정인 로그온 시도를 확인하십시오. 계정 잠금 임계값보다 낮은 다수의 로그온 실패도 확인하십시오.

530

4625

로그온 실패 - 시간 제한

허용된 시간 범위 외부에서의 로그온 시도를 나타냅니다. 사용자 계정 이름 및 워크스테이션 이름을 확인하십시오.

531

4625

로그온 실패 현재 사용할 수 없는 계정

대상 계정 이름 및 워크스테이션 이름을 확인하십시오. 이 이벤트는 이전 사용자가 시도했던 침입을 나타낼 수 있으므로 조사해 볼 필요가 있습니다.

532

4625

로그온 실패 지정한 사용자 계정이 만료됨

대상 계정 이름 및 워크스테이션 이름을 확인하십시오. 이 이벤트는 계약직 또는 임시직 직원의 악용 시도를 나타낼 수 있으므로 조사해 볼 필요가 있습니다.

533

4625

로그온 실패 사용자가 이 시스템에 로그온이 허용되지 않았음

사용자가 제한된 워크스테이션에 로그온하려 할 수 있음을 나타냅니다.

534

4625 / 5461

로그온 실패 허용되지 않은 로그온 유형

대상 계정 이름, 워크스테이션 이름 및 로그온 유형을 확인하십시오. 이 이벤트는 그룹 정책 설정에서 서비스 계정을 사용한 대화형 로그온을 금지하는 경우 해당 계정의 자격 증명을 사용한 대화형 로그온 실패 시도를 나타냅니다.

535

4625

로그온 실패 지정된 계정 암호가 만료됨

사용자가 암호가 만료된 계정을 사용하여 로그온을 시도하려 한다는 것을 나타냅니다. 해당 암호의 변경 또는 지원 호출 없이 반복해서 시도할 경우 즉각적인 조사가 필요할 수 있습니다.

536

4625

로그온 실패 - NetLogon 구성 요소가 활성화되어 있지 않음

NetLogon 서비스가 작동 중인지 확인하십시오. 작동하지 않는 경우에는 이 이벤트를 즉시 조사해 볼 필요가 있습니다.

540

4624

로그온 성공

이 이벤트는 이벤트 528에 해당하는 네트워크입니다.

이벤트592

592

4688

새 프로세스 만들기

승인되지않은프로세스또는예기치않은시작시간이있거나,알수없는프로그램이시작되고나서곧바로중지되는경우가있는지이미지파일이름및사용자이름항목을확인하십시오.

파일 권한 변경 이벤트

560

4656

기존 개체에 부여된 액세스

개체에 대해 액세스 요청이 허가되었음을 나타냅니다. 기본 로그온 ID, 클라이언트 사용자 이름 및 기본 사용자 이름을 확인하여 무단 액세스를 찾아내십시오. 액세스 필드를 확인하여 작업 유형을 판단하십시오. 이 이벤트는 실제 액세스 발생 여부가 아닌 액세스 요청만 감지합니다.

567

4657 / 4663

사용된 핸들과 관련된 권한

개체에대한액세스유형의첫번째인스턴스와액세스필드에“WRITE_DAC”가포함된경우해당권한이변경되었음을나타냅니다.핸들ID필드와비교하여이벤트560에연결하십시오.

암호 재설정 이벤트

627

4723

암호 변경 시도

요청자가 원래 암호를 제공한 암호 변경 요청을 나타냅니다. 기본 계정 이름과 대상 계정 이름을 비교하여 요청하는 계정이 변경된 계정인지를 확인하십시오.

628

4724

사용자 계정 암호 설정 또는 재설정

암호 변경 프로세스라기보다는 관리 인터페이스를 통한 암호 재설정을 나타냅니다. 요청자는 지원 센터 계정 또는 셀프 서비스 암호 재설정 계정과 같은 권한이 있는 계정이어야 합니다.

698

 

디렉터리 서비스 복원 모드 암호 변경

도메인컨트롤러에서의디렉터리서비스복원모드암호변경시도를나타냅니다.워크스테이션IP및계정이름을확인하십시오.이이벤트는즉각적인조사가필요합니다.

사용자 계정 변경 이벤트

624

4720

사용자 계정 만들기

네트워크 계정 생성 작업이 발생했음을 나타냅니다.

630

4726

사용자 계정 삭제

네트워크 계정 삭제 작업이 발생했음을 나타냅니다.

642

4738

사용자 계정 변경

보안 관련 사용자 계정 변경 사항은 이벤트 627-630에서 다루지 않는 사항임을 나타냅니다.

685

4781

사용자 계정 이름 변경

사용자계정 이름 변경을 나타냅니다.

그룹 구성원 변경 이벤트

631,

632,

633, 634,

4727

보안 글로벌 그룹 변경

대상 계정 이름 필드를 확인하여 변경된 그룹이 글로벌 그룹이거나 광범위한 액세스 권한을 가지고 있는지 알아보십시오.

635, 636,

637, 638,

4731/ 4732/ 4733/ 4734

보안 로컬 그룹 변경

대상 계정 이름 필드를 확인하여 변경된 그룹이 관리자, 서버 운영자 또는 백업 운영자인지 알아보십시오.

639, 641,

668

4735/ 4737/ 4764

보안 그룹 변경

삭제, 만들기 또는 구성원 변경 이외의 그룹에 대한 변경 사항을 나타냅니다. 대상 계정 이름을 확인하여 권한이 높은 그룹이 변경되지 않았는지 알아보십시오.

659, 660, 661,

662

4755/ 4756/ 4757/ 4758

보안 유니버설 그룹 변경

대상계정이름필드를확인하여EnterpriseAdmins와같은권한이높은그룹이변경되지않았는지알아보십시오.

무단 로그온 이벤트

528,

540

4624

로그온 성공

528은 일반적인 이벤트입니다. 하지만 이벤트 540의 경우에는 대상 계정 이름을 확인하여 기본 관리자 계정에 의해 발생했는지 여부를 알아보아야 합니다.

529

4625

로그온 실패 알 수 없는 사용자 이름 또는 암호

대상 계정 이름이 Administrator이거나 이름이 변경된 기본 관리자 계정인 경우에는 항상 조사해야 합니다. 로그온 실패 횟수가 잠금 임계값에 거의 다다른 경우에도 항상 조사해야 합니다. 또한 대상 계정 이름이 Administrator 또는 루트이거나 도메인 이름을 알 수 없는 시도도 확인하십시오.

531

4625

로그온 실패 - 사용할 수 없는 계정

대상 계정 이름 및 워크스테이션 이름을 확인하여 출처를 파악하십시오. 이 이벤트는 이전 계정 사용자에 의한 예상 침입 시도로 간주하여 조사해야 합니다.

532

4625

로그온 실패 - 만료된 계정

대상 계정 이름 및 워크스테이션 이름을 확인하여 출처를 파악하십시오. 이 이벤트는 이전 계정 사용자에 의한 예상 침입 시도로 간주하여 조사해야 합니다.

576

4672

새 로그온에 할당된 특별 권한

새계정권한이나감사추적을변경하는기능을부여할수있는권한할당을나타냅니다.로그온ID필드와이벤트528또는540을비교하면계정에관리자에해당하는권한이있는지쉽게알수있습니다.

서비스 계정 자격 증명을 사용한 로그온 이벤트

528

4624

로그온 성공 콘솔 공격 또는 터미널 서비스

로그온 유형 10, 서비스 계정 또는 로컬 시스템 계정이 이 이벤트와 관련된 경우 진행 중인 공격을 나타냅니다. 이 이벤트는 즉시 조사해야 합니다.

534

4625/ 5461

로그온 실패 허용되지 않은 로그온 유형

그룹 정책 설정에 의해 금지된 서비스 계정 자격 증명을 사용하여 대화형으로 로그온하려 했으나 실패한 시도를 나타냅니다. 이벤트가 발생하면 대상 계정 이름, 워크스테이션 이름 및 로그온 유형을 확인하십시오.

600

4696

프로세스에 기본 토큰이 할당됨

서비스에서 명명된 계정을 사용하여 Windows XP 이상을 실행하는 시스템에 로그인하려 함을 나타냅니다. 조사하려면 이벤트 672, 673, 528 592의 정보와 연결하십시오.

601

4697

사용자의 서비스 설치 시도

이이벤트는명확하게정의된허용가능한응용프로그램정책과시스템표준화프로세스를갖춘비즈니스환경에서는대체로발생하지않습니다.이러한환경에서변경제어프로세스가연결되어있지않은경우에는이이벤트를조사해야합니다.

권한이 없는 프로그램 실행 이벤트

592

4688

새 프로세스 만들기

새 프로세스가 만들어졌음을 나타냅니다. 이미지 파일 이름 및 사용자 이름 필드를 확인하고 회사에 허용 가능한 프로그램 정책이 설정되어 있는 경우 권한이 있는 프로그램 목록과 비교하십시오. 또한 LocalSystem을 사용하여 명령 프롬프트를 시작하는 것은 감사 추적을 회피하기 위한 일반적인 방법이므로 이와 같은 경우가 있는지 살펴보십시오.

602

4698/ 4699/ 4700/ 4701/ 4702

예정된 작업 만들기

이와같은이벤트가예기치않은시간에발생하는경우대상이름및작업이름을확인하십시오.

권한이 없는 리소스에 대한 엑세스 시도 이벤트

560

4656

기존 개체에 대해 거부된 액세스

개체 이름 필드를 확인하여 액세스된 리소스를 알아보고 기본 사용자 이름 및 기본 도메인 필드 또는 클라이언트 사용자 이름 및 클라이언트 도메인 필드를 연결하여 출처를 파악하십시오.

568

 

감사된 파일에 대한 하드 링크 만들기 시도

사용자또는프로그램에서파일이나개체에대한하드링크를만들려고했음을나타냅니다.계정에개체한대한권한이있는경우해당계정에서는설정된하드링크를통해감사추적을만들지않고도파일을조작할수있습니다.

권한이 없는 컴퓨터 사용 이벤트

529

4625

로그온 실패 알 수 없는 사용자 이름 또는 암호

대상 계정 이름 필드가 Administrator 또는 루트이거나 도메인 이름을 알 수 없는 로그온 시도가 있는지 확인하십시오.

533

4625

로그온 실패 사용자가 이 시스템에 로그온이 허용되지 않았음

사용자가 제한된 워크스테이션에 로그온하려 할 수 있음을 나타냅니다.

592

4688

새 프로세스 만들기

이미지파일이름및사용자이름필드를확인하여프로그램이해당계정에서지정된용도로사용되는데필요한권한이있는지알아보십시오.

신뢰관계 변경 이벤트

610,

611,

620

4706/ 4707/ 4716

다른 도메인과의 신뢰 관계가 생성, 삭제 또는 수정됨

이이벤트는신뢰관계를구축한도메인컨트롤러에생성됩니다.이이벤트가설정된변경제어요청프로세스에연결되지않은경우에는즉시조사해야합니다.사용자이름필드를확인하여요청하는계정을알아보십시오.

정책 변경 이벤트

612

4719

감사 정책 변경

감사 정책 변경을 나타냅니다. 권한이 부여되었는지 여부를 확인하려면 이 이벤트를 설정된 변경 제어 정책에 연결해야 합니다.

613, 614,

615

존재하지 않음

IPsec 정책 변경

IPsec 정책 변경을 나타냅니다. 시스템이 시작되지 않고 발생하는 경우에는 조사해야 합니다.

618

4714

암호화된 데이터 복구 정책

이이벤트는암호화된데이터복구정책이사용되고있는경우에발생합니다.지정된정책이아닌다른정책이사용되고있으면조사해야합니다.

인증자격증명변경이벤트

529

4625

로그온 실패 알 수 없는 사용자 이름 또는 암호

대상 계정 이름이 Administrator이거나 암호 변경 권한이 부여되지 않은 다른 관리 수준 계정인 로그온 시도를 확인하십시오. 또한 잠금 임계값보다 낮은 다수의 로그온 실패를 확인하고, 이벤트 529 및 이벤트 539와 연결하여 연속 계정 잠금 패턴을 식별하십시오.

534

4625/ 5461

로그온 실패 허용되지 않은 로그온 유형

사용자가 네트워크, 대화형, 배치 또는 서비스 등 허용되지 않는 계정 유형을 사용하여 로그온하려 했음을 나타냅니다. 대상 계정 이름, 워크스테이션 이름 및 로그온 유형 필드를 확인하십시오.

539

4625

계정 잠김

잠겨 있는 계정을 사용하여 로그온을 시도했음을 나타냅니다. 이벤트 529에 연결하여 연속 잠금 패턴을 확인하십시오.

553

4649

재생 공격 탐지됨

Kerberos 같은 인증 패키지에서 사용자 자격 증명 재생을 통한 로그온 시도를 감지했음을 나타냅니다. 이 이벤트는 잘못된 네트워크 구성을 나타낼 수도 있지만 여하튼 즉시 조사해야 합니다.

627

4627

암호 변경 시도

기존 계정 이름 필드가 대상 계정 이름 필드와 일치하지 않는 경우 계정 소유자가 아닌 사용자가 암호를 변경하려 했음을 나타냅니다.

628

4724

사용자 계정 암호 설정 또는 재설정

이 활동을 지원 센터 계정 또는 사용자 셀프 서비스 암호 재설정 계정 등 권한이 있는 계정으로만 제한해야 합니다.

644

4740

사용자 계정이 자동으로 잠김

연속 로그온 실패 시도 횟수가 계정 잠금 제한을 초과하여 계정이 잠겼음을 나타냅니다. 이벤트 529, 675, 681 676과 연결합니다(Windows 2000 Server에만 해당). 이 표의 이벤트 12294에 대한 항목도 참조하십시오.

675

4771

사전 인증 실패

도메인에 가입되지 않은 컴퓨터 계정을 나타내거나 시간 동기화 문제를 나타냅니다. 이벤트 529와 연결하여 정확한 로그온 실패 이유를 찾아내십시오.

12294

 

계정 잠금 시도

기본관리자계정에대한BruteForce공격이발생한것일수있음을나타냅니다.이계정에는계정잠금정책이적용되지않기때문에시스템이벤트로그에SAM이벤트12294로기록됩니다.권한이없는운영체제의사용을나타낼수도있으므로이이벤트항목을모두조사해야합니다.알수없는도메인의도메인이름필드확인

권한 상승 취약점의 악용으로 인해 발생하는 취약점 이벤트

528,

538

528

로컬 로그온 및 로그오프

이러한 이벤트가 경계 네트워크에서 발생할 경우 로그온 ID 필드와 연결합니다. 사용자 계정 이름, 시간 또는 워크스테이션 이름 필드에 예기치 않은 값이 포함되어 있으면 즉시 조사해야 합니다.

551

4647

사용자가 로그오프 시도

토큰 누출로 인해 이벤트 538을 감사할 수 없지만 대신에 이벤트 551이 발생하므로 이 이벤트를 이벤트 538로 간주할 수 있습니다.

576

4672

권한이 있는 로그온

관리자계정로그온또는TCP(신뢰할수있는컴퓨팅기초)를조작할수있는권한이나WindowsServer2003SP1이상의컴퓨터를인계할수있는권한을가진계정로그온을나타냅니다.이전버전의Windows에서는SeSecurityPrivilege또는SeDebugPrivelege등주요권한과관련된경우에만이이벤트에관심을가졌습니다.

이벤트 감사 회피 이벤트

512

4608

Windows 시작

일반적으로 이벤트 513 이후에 발생합니다. 이 경우 예기치 않은 다시 시작을 조사해야 합니다.

513

4609

Windows 시스템 종료

일반적으로 이벤트 512 전에 발생합니다. 고부가가치 컴퓨터는 권한이 있는 사용자만이 설정된 변경 제어 절차나 다른 절차에 따라 다시 시작해야 합니다. 어떤 서버에서든 이 이벤트가 발생할 경우 즉시 조사해야 합니다.

516

4612

감사 실패

이 이벤트는 이벤트 수가 너무 많아 이벤트 로그 버퍼 용량이 부족하거나 보안 로그가 덮어쓰도록 설정되어 있지 않은 경우에 발생할 수 있습니다. 대부분의 컴퓨터에서는 모니터링 되는 이벤트 유형을 제한하여 이러한 문제를 방지할 수 있지만, 고부가가치 컴퓨터나 취약한 컴퓨터는 보안을 위해 보다 철저하고 신중하게 모니터링 해야 합니다.

517

1102

보안 이벤트 로그 지우기

권한이 없는 경우에는 보안 이벤트 로그를 지울 수 없도록 해야 합니다. 클라이언트 사용자 이름 및 클라이언트 도메인 필드를 확인하여 권한이 있는 사용자와 절차가 승인된 레코드를 서로 연결하십시오.

520

4616

시스템 시간 변경

이 작업을 통해 정밀 분석을 잘못된 방향으로 이끌거나 공격자에게 거짓 알리바이를 제공할 수 있습니다. 클라이언트 사용자 이름 및 클라이언트 도메인 필드를 확인하여 권한이 있는 사용자와 서로 연결하고, 프로세스 이름이 %windir%\system32\svchost.exe로 표시되어 있는지도 확인하십시오.

521

존재하지 않음

이벤트 기록 불가능

Windows에서 이벤트 로그에 이벤트를 쓸 수 없는 경우에 발생합니다. 이 이벤트가 모든 고부가가치 시스템에서 발생할 때마다 조사해야 합니다.

608

4704

사용자 계정 권한이 할당됨

새 권한이 사용자 계정에 할당되는 경우에 발생합니다. 이벤트 로그는 사용자 계정 이름이 아닌 사용자 계정 SID(보안 식별자)와 함께 이 동작을 기록합니다.

609

4705

사용자 계정 권한이 제거됨

사용자 계정에서 권한이 제거된 경우에 발생합니다. 이벤트 로그는 사용자 계정 이름이 아닌 사용자 계정의 SID와 함께 이 동작을 기록합니다.

612

4719

감사 정책 변경

이 이벤트가 발생했다고 해서 반드시 문제가 있는 것으로 단정할 수는 없지만 공격자가 공격의 일환으로 감사 정책을 수정할 수 있습니다. 고부가가치 컴퓨터와 도메인 컨트롤러에서 이 이벤트를 모니터링 해야 합니다.

621

4717

시스템 액세스 권한이 계정에 부여됨

사용자에게 시스템에 대한 액세스 권한이 부여된 경우에 발생합니다. 액세스 권한이 대화형으로 표시되는 경우 사용자 이름 및 수정된 계정 필드를 확인해야 합니다.

622

4718

시스템에서 시스템 액세스 권한이 제거됨

이 이벤트는 공격자가 이벤트 621과 관련된 증거를 제거하려고 했거나 다른 계정에 대해 서비스 거부를 시도하고 있음을 나타낼 수 있습니다.

643

4739

도메인 보안 정책 변경

암호정책이나기타도메인보안정책설정을수정하려는시도가있을경우발생합니다.사용자이름을확인하고권한부여레코드와연결하십시오.

[표 3] 주요 이벤트 로그


[그림 1] 주요 이벤트로그




지금까지 이벤트로그에 대해서 살펴 보았으며, 다음 포스팅에서는 프리패치에 대해서 살펴 보겠습니다.

'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Windows Artifact[6] - EventLog[1]  (0) 2018.07.09
Windows Artifact[5] - Thumbnail/IconCache  (0) 2018.04.12
Windows Artifact[3] - LNK  (0) 2018.04.05
Windows Artifact[2] - MFT,Logfile  (0) 2018.03.30
Windows Artifact[1] - $MFT(4)  (0) 2018.03.16

이 글을 공유하기

댓글