[Cresendo] Event Log Problem 02

크레센도 그룹의 보안담당자 A 씨는 최근 퇴사자의 PC를 분석하던 중, 보안 정책 상 접근이 허용되지 않은 부서의 IP 로부터 접속 흔적을 발견했다. 해당 흔적에 대한 추가 분석을 수행하시오.

1. 첫 번째 원격 로그인 성립 시점
2. 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름
3. 원격으로 접속한 비 인가 부서의 IP 주소

1번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임
답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: 2015-01-28 11:16:33_CRE_10.0.0.123

문제지문을 보면 1번 문제와는 다르게 원격 로그인과 관련된 이벤트를 찾아 각 문항의 정답을 찾으면 된다. 

첨부된 evtx파일을 열어보자.

[그림 1] EVT_002.evtx

evtx파일을 열어보면 675개의 이벤트를 확인해볼 수 있다. 전체적으로 로그온이나 보안그룹 관리, 사용자 계정 로그들이

 많이 발생하였다.

[표 1] 로그온과 관련된 로그

1번 문항에서 요구하는 조건은 첫번째 원격 로그인 성공 시점이다. 필터링을 하여 이벤트ID 4624를 뽑아보자.

[그림2] ID 4624 필터링

필터링을 한 결과 229개의 이벤트를 확인해볼 수 있다. 로그온 했을때 발생한 이벤트들만 뽑아냈지만 

어떠한 이벤트가 원격 로그인과 관련된 이벤트인지 바로 확인할 수는 없다. 각각의 로그를 클릭해보면

아래에 로그온 유형을 확인해볼 수 있다. 해당 유형을 살펴보며 원격 로그인이 발생한 로그를 찾아보자.

로그온 유형 2 (대화식)	콘솔에서 키보드로 로그인
로그온 유형 3 (네트워크)	네트워크를 통한 원격 로그인
로그온 유형 4 (자동실행)	스케줄에 등록된 배치 작업 실행시 미리 설정된 계정 정보로 로그인
로그온 유형 5 (서비스)	서비스가 실행될때 미리 설정된 계정 정보로 로그인
로그온 유형 7 (잠금해제)	화면보호기 잠금 해제시
로그온 유형 8 (네트워크 - 암호화)	3번 유형과 비슷하지만 계정 정보를 평문으로 전송시 발생
로그온 유형 9 (새자격)	실행에서 프로그램 실행시 /netonly 옵션을 줄때
로그온 유형 10 (원격 대화식)	터미널 서비스, 원격 접속, 원격지원으로 로그인
로그온 유형 11 (캐쉬된 대화식)	pc에 캐쉬로 저장된 암호를 자동 입력 로그인시

[표 2] 로그온 유형 (출처 - Security Guys 블로그)

로그를 하나씩 확인해보면 각각의 로그온 유형이 다른것을 볼 수 있다. 1번 문항에서 요구하는 조건은 원격 로그인과 

관련된 로그기 때문에 시간차순으로 정렬하여 로그온 유형이 10인 로그를 찾아보자.

[그림 3] 로그온 유형 10

2016-10-14 오전 7:02:10때 발생한 로그를 보면 로그온 유형 10 이다. 해당 로그가 원격 로그온이 첫번째로 발생한 시점이고 

2번 문항인 사용자명과 3번 문항인 비 인가 IP주소도 해당 이벤트에서 모두 확인이 가능하다.

답 포맷으로 바꿔보면 2016-10-14 07_02_10_DEVJDOE_192.168.16.11 이 나오게 된다.