Redline을 사용해 침해사고 컴퓨터 정보/데이터 수집 스크립트 작성 방법

Redline 의 설명은 다음과 같다.
FireEye의 최고 무료 툴 Redline®은 사용자에게 호스트 조사 기능을 제공하여 메모리 및 파일 분석과 위협 평가 프로파일 개발을 통해 악성코드 침해 징후를 발견할 수 있도록 합니다.

Redline을 설치하려면 닷넷프레임워크 4.0버전 이상이 필요하며 Windows 10은 아직 지원해주지 않습니다.
Redline은 메모리 포렌식에서 쓰이는 툴이며, 컴퓨터 정보/데이터 수집 스크립트를 자동으로 작성해서 저장해줍니다.
따라서 사용자는 Redline의 결과물을 USB에 넣고다니며 침해사고가 일어난 컴퓨터에 적용 시킴으로써 침해 사고 컴퓨터에 대한 전반적인 데이터를 획득할 수 있습니다. 

Redline의 설치는 어렵지 않다. 그냥 닷넷프레임 워크 4.0버전 이상을 설치하고 .msi파일에서 다음다음 하면 설치가 된다.

Redline 실행 화면이다.
먼저 Redline을 이용하여 자동적으로 스크립트를 만들어보도록 하겠다.

아까 최초화면에서 Collect Data -> Create a Standard Collecter를 클릭하면 위와 같은 창이 뜬다. 그리고 하나의 팝업창을 띄울 수 있는데 왼쪽 상단에 보면 Edit Your script가 있다. 여기에서 체크하는 것에 대해 결과값을 만들어내는 스크립트를
만들어 낼 수 있다.

오른쪽 상단에 Show Advanced Parameters가 있는데 이것은 특정 프로그램등을 타겟지어서 찾을 수 있게 한다. 

설정이 끝났다면 아래의 경로로 저장이 되게 된다.

그리고 해당 경로로 들어가면 위와 같은 파일들이 생성 된 것을 확인 할 수 있다.

PsExec.exe

위의 프로그램은 권한을 System권한으로 올려주는 것이다. 흔히 사용하고 있는 관리자 권한보다 더 높은 권한이 있는데 System권한이 바로 그 권한이다. System 권한을 획득하는데 도움을 주는 프로그램이다.

PsExec.exe /accepteula -d -i -s c:\Windows\System32\cmd.exe

그러면 System32 권한으로 상승된 cmd창을 볼 수 있게된다. 지금 필자는 최초 실행때부터 system32였으나
 혹시나 Admin권한이었을때 위와 같이 상승시켜줘야 한다.
만약 실행이 안된다고 하면 cmd창을 관리자 권한으로 실행시켜서PsExec.exe파일을 실행 시켜보길 바란다.

System권한으로 상승된 cmd를 Redline으로 만들어진 스크립트가 있는 폴더로 이동하여
RunRedlineAudit이라는 파일을 실행 시켜준다.
** 여기에서 아까 올렸던 PsExec.exe파일도 이 폴더에 포함시켜서 USB에 담아서 다니면
나름 훌륭한 분석 스크립트가 될 수 있을 것이다. 

위의 CMD는 실행된 화면이고 아래는 실행된 정보들이 저장되는 곳이다. 스크립트가 있었던 폴더에서 보면
Sessions이라는 폴더가 생긴 것을 확인 할 수 있고, 이 작업은 30분~ 2시간등의 적지않은 시간이 소요된다. 

그럼 이제 분석할 차례이다. Redline을 켜서 왼쪽 상단에 아이콘같이 생긴 것을 클릭하면 목록이 나오는데
 Analyze Collected Data를 누르면 아래와 같은 화면이 나오게 된다. 

Audit location 오른쪽에 있는 Browse를 누른다.
이제 여기서 불러올 경로는 RunRedlineAudit의 결과를 불러와야한다. 경로는 폴더 제일 안까지 들어가야한다. 

아래와 같은 파일이 포함되어 있는 폴더까지 들어간다.

원래라면 이것보다 더 많은 데이터가 나와야한다. 필자는 중간에 취소하였다.

경로를 불러왔다면 아래에 Advanced를 클릭하고 Copy를 눌러준다.
원본은 놔둔채 복사본으로 분석하기 위함이다.

아래에 이제 저장할 경로를 지정하고 OK를 누르면 된다.

위와 같은 창을 볼 수 있다. 왼쪽 목록에 Driver Modules 등등으로 분석을 시작하게 되는 것이다. 
분석하는 방법은 다른 블로그를 참고하거나 시간이 된다면 다음 포스팅에 간략하게 나열해보도록 하겠다.