Redline을 사용해 침해사고 컴퓨터 정보/데이터 분석 (Live Response)

Redline을 사용하여 침해사고 컴퓨터 정보/데이터 분석 (Live Response)

이 글은 이전 글에 이어서 작성되고 있습니다.

이번 포스팅에서는 이전 글에서 만들어냈던 추출을 분석을 해보자
다시 한번 말하지만 이 글을 쓸때까지는 레드라인이 윈도우10을 지원하지 않으므로 혹시 안된다고 생각되면 운영체제를
다시 생각해보자

먼저 이런 화면이 뜰 것이고 왼편에 나열되어 있다.

Processes 탭을 누르면 위와 같은 화면으로 바뀌게 된다.
오른쪽에 보면 MRI Score라는게 있는데 이 숫자가 높으면 악성코드일 확률이 높아지나
여기선 그렇게 높은 MRI가 보이지 않는다.

따라서 부모프로세스와 자식프로세스를 비교하여 악성코드를 찾아내야한다. 

Hierarchical Processes탭은 부모, 자식프로세스를 보여주며 똑같이 MRI Score를 보여준다.
해당 프로세스를 더블클릭하면 상세정보를 확인 할 수 있다.

 

< 더블클릭했을 때 나타나는 상세정보 - 아래에 많은 탭들이 있다 >

Browser URL History는 사용자가 접근했던 브라우저 URL의 경로를 파악할 수 있다.

File Download History는 사용자가 어디서 어떤 것을 다운받았는지 파악할 수 있으나 추출은 하지 못한다.

Timeline은 아주 중요하다. 나중에 증거물이나 추적할 때 시간이 의미하는 것은 아주 중요하다. 여기선 시간을 중심으로
앞 뒤로 무엇이 들어왔는지 어떤 역할을 했는지 알 수 있다.
해당되는 시간에 우클릭을하여 Add New TimeWrinkle을 누르면 된다.

위에서 TimeWrinkle을 눌렀을 때 나오는 결과화면이다. 기본 값으로는 선택된 시간에서 ±5분이라고 되어있는데
Edit Filter로 시간을 조정할 수 있다. 위의 사진은 조정을하여 popUp[1].js 아래에 7분이라고 표기된 것을 확인 할 수 있다.

User 탭이다. 여기서 취약하다면 취약할 수 있는 점이 있는데 Guest를 사용하고 있는 점과
 Administrator로 사용되는 것이 취약할 수 있다. Guest계정은 되도록 사용하지 않는게 좋으며
Administrator의 경우 추측이 불가능한 이름으로 바꾸어줘야 더 안전하다고 볼 수 있다.



이번 포스팅으로 간단하게 Redline의 사용법을 알아보았습니다. Redline의 기능은 이뿐만 아니라 더 많은 기능을 포함하고 있을 것입니다. 필자는 아직 능력이 부족하여 완벽히 사용할 순 없지만 기회가 된다면 계속 배우고 싶습니다. 
글 내용중에 잘못된 내용이 있을 수 있는데 댓글이나 개인적으로 연락을 주면 즉시 수정할 수 있도록 하겠습니다.