시스템 보안 VI

1. 초기 분석 목적

피해 시스템이 네트워크에 연결된 상태에서 사고 분석에 필요한 가능한 많은 정보 수집
공격흔적 및 원본 회손 최소화
휘발성 상태 분석을 할 수 있는 상태이기 때문에 중요함(네트워크 상태, 실행중인 프로세스 상태, 메모리...)

2. 분석 툴 사용하기

CD 롬, 플로피 디스크 마운트(Linux 경우)
mount /dev/fd0 /mnt/floppy 또는 mount /mnt/floppy
mount /dev/cdrom /mnt/cdrom 또는 mount /mnt/cdrom

네트워크 마운트
만일 네트워크 사용이 가능하면, nfs 마운트 후 사용도 가능

3. 시스템 환경정보

uptime  –  부팅후 시스템이 가동한 시간

uname – 시스템 이름, 커널 버전 등(uname – a)

df – 파일시스템 정보 (df – k)

env/printenv/set – 환경변수 정보

ps – 사용중인 프로세스 정보cf) top – Linux, Solaris 등
topas – AIX 등

ps 옵션들
ps – aux
ps aux
ps – ef
ps – efl

4. 네트워크 상태 정보 1

netstat – TCP/UDP 및 UNIX SOCKET 등의 모든 활동 상태, 라우팅 테이블 정보
netstat –an
netstat –anp
netstat –nr
netstat –an | grep LIST
netstat –an | grep EST

ifconfig – 네트워크 인터페이스 상태확인/설정
ifconfig – a
PROMISC 인지 여부

5. 네트워크 상태 정보 2

lsof – i : netstat 와 비슷한 결과를 출력하나, 관련 프로세스 정보를 같이 출력함.

arp – a : arp 테이블을 보여즘.

6. 열려진 모든 파일 정보

fuser
fuser –v 파일 이름

lsof
lsof | grep 파일이름

7. 로그인 사용자 정보

w -> utmp

last -> wtmp

tty# 은 콘솔
pts#, ttyp# 은 원격로그인

반응형

1. Initial Analysis Purpose

Gather as much information as possible to analyze incidents while the victim system is connected to the network
Minimize attack traces and original recoveries
Important because it is in a state where volatile status analysis can be performed (network status, running process status, memory...)

2. Using Analysis Tools

CD ROM, floppy disk mount (for Linux)
mount /dev/fd0 /mnt/floppy 또는 mount /mnt/floppy
mount /dev/cdrom /mnt/cdrom 또는 mount /mnt/cdrom

Network Mounting
If the network is available, it can be used after nfs is mounted

3. System Environment Information

Uptime – Time the system was up and running after boot

uname – System name, kernel version, etc. (uname – a)

df – File System Information (df – k)

env/printenv/set – Environment variable information

ps – Process information in use cf) top – Linux, Solaris, etc
topas – AIX 등

ps options
ps – aux
ps aux
ps – ef
ps – efl

4. Network Status Information 1

netstat – All activity status, routing table information, such as TCP/UDP and UNIX SOCKET
netstat –an
netstat –anp
netstat –nr
netstat –an | grep LIST
netstat –an | grep EST

ifconfig – Network Interface Status Check/Settings
ifconfig – a
PROMISC or not

5. Network Status Information 2

lsof – i : Outputs results similar to netstat, but also outputs relevant process information.

arp – a : Show arp table.

6. All open file information

fuser
fuser –v File Name

lsof
lsof | grep filename

7. Login User Information

w -> utmp

last -> wtmp

tty# is a console
pts#, ttyp# is a remote login