[Cresendo] Event Log Problem 03

_크레센도 그룹의 보안담당자 A 씨는 내부 정기 감사를 통해 한직원의 컴퓨터에서 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견하였다. 현재 추가 분석을 위해 해당 직원 컴퓨터에서 확보한 이벤트 로그 파일 5개를 전달받은 상태이다. 주어진 파일에서 다음과 같은 정보를 확보하시오:

1. 설치된 “비인가 프로그램”의 실행파일 이름

2. 1번 프로그램의 설치 완료 시점

3. 1번 프로그램이 방화벽 예외에 등록된 시점

2,3번문항 시점은 

YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임

답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: PPAP_2015-01-28 11:16:33_2015-01-28 17:33:22

문제 지문을 보면 인가되지 않는 클라우드 공유 프로그램의 흔적에서 각 항목별 정답을 찾아야하는 문제이다. 

앞에 문제들과 다르게 이벤트로그가 압축파일 형식으로 되어있다.

[그림 1] EVT_003.7z

문제를 받아 압축을 풀어보면 5가지 로그가 있다. 1,2번 문항은 응용프로그램의 주요 이벤트나 활동 등을 기록하는 Application 로그를 살펴보고 3번 문항은 방화벽 관련 문항이니 Firewall 로그를 살펴보자.

[그림 2] Application.evtx

Application로그를 열어보면 601개의 이벤트를 확인해 볼수 있다. 1번 문항에 설치된 "비인가" 실행 파일은 파일 설치와 관련된 로그를 보면 알 수있다.

1033	응용프로그램 설치 완료
11707	프로그램 설치(MsiInstaller)
11724	프로그램 제거(MsiInstaller)

[표 1] 프로그램 설치 관련 이벤트ID

위와 같이 프로그램 설치와 관련된 이벤트들로 필터링을 적용시켜 봐도 되지만, 그 외의 프로그램을 설치했을때 발생하는 이벤트들이 있기때문에 로그 필터링을 할때 이벤트 원본을 MsiInstaller로 필터링한다.

[그림 3] 의심되는 이벤트

필터링을 하여 이벤트를 살펴보다 Dropbox가 설치되었다는 로그를 확인했다. 

문제 지문을 보면 클라우드 공유프로그램을 설치한 흔적을 발견하였다고 하니 설치된 프로그램은 Dropbox이고 

설치된 시점은 2016-10-13 오후 12:25:36 이다.

그러면 Dropbox는 언제 방화벽 예외에 등록되었을까? Firewall 로그를 살펴보자.

[그림 4] Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx

Firewall 로그파일을 열어보면 방화벽과 관련된 여러가지 로그가 보인다. 3번 문항에서 요구하는 조건은 방화벽 예외에 "등록된" 시점이다.

시점을 찾기 위해 방화벽 예외 목록에 추가되었을때 발생하는 이벤트ID 2004로 필터링을 하여 검색해보았다.

그 결과 [그림4]와 같이 Dropbox가 예외 목록에 추가된 것을 확인하였고 예외에 등록된 시점은 2016-10-13 오후 12:30:00이다.

정답을 답포맷에 맞게 바꿔보면 Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00