보안관리자로써 경력이 3-4년 된 분들이라면 침입차단시스템과 침입탐지시스템과 같은 기본적인 보안장비 자체에 대한 지식과 운영경험은 아주 뛰어나리라 생각된다. 하지만 그런 중급 보안관리자라 하더라도 쉽게 접근하기 어렵다고 느끼는 분야가 있다면 "침해사고 분석(Forensic)"이 아닌가 한다.
본 문서에는 Windows 2000 서버를 대상으로 보안관리자는 물론 일반 IT관리자들도 손쉽게 접근할 수 있는 "침해사고 분석" 절차에 대해서 알아보겠다.
비정상 네트워크 확인
1. 비정상 네트워크 연결 확인
1) 목적 - 대상 시스템에서 네트워크를 통하여 열려 있는 서비스를 확인하고 불필요한 서비스가 동작 중인지의 여부를 확인한다.
2) 점검 방법
① [시작] →[실행] →cmd 입력 후 엔터 ② cmd창에서 netstat 실행
C:\>netstat -na
③ -na 옵션을 통해서 열려있거나 연결된 TCP/UDP 포트 확인 가능 ④ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 TCP 포트 확인
C:\>netstat -na | findstr LISTENING
⑤ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 UDP 포트 확인
C:\>netstat -na -p udp | findstr *:*
2. 비정상 네트워크와 매핑된 프로세스 확인
1) 목적 - 공개 툴인 fport를 이용하여 TCP/UDP 포트와 매핑된 프로그램(프로세스)를 확인한다.
③ 다음과 같은 레지스트리에 대해서 확인 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce