해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 




구분: 보안
장르: 윈도10
2020/6/20(토)
조회: 181
모니터링해야 할 중요한 윈도우 10 보안 이벤트 로그 ID  
윈도우 10 이벤트 로그(event lo gs) 감시는 네트워크 상의 악성 활동을 탐지할 수 있는 최선의 방법 가운데 하나다. 그렇다면 어 떤 이벤트 ID를 주시해야 할까? 주목해야 할 가장 중요한 유형의 로그 이벤트와 이를 통해 알 수 있는 내용은 다음과 같다.
 
ⓒ Getty Images Bank


윈도우 보안 이벤트 로그 ID 4688

이벤트 46 88에는 컴퓨터에서 실행된 각 프로그램과 식별 데이터, 그리고 이를 구동한 프로세스가 기록된 다. 사용자가 시스템에 로그인하면 여러 개의 이벤트 4688이 발생한다. 예를 들면, 로그인 시점에 세션 관리자 하부시스템(SMSS.exe)이 실행되고 이벤트 4688이 기록된다. 또한, 기록된 토큰 승 격 유형을 보면 어떤 사용자 권한이 프로그램과 관련되어 있는지 알 수 있다. 이들 토큰은 계정 권 한을 나타낸다.
 
  • %%1936 - 유형 1: 제거된 권한이나 비활성화된 그룹이 없는 완전한 토큰 이다. 완전한 토큰이 사용되는 경우는 사용자 계정 컨트롤(User Account Control, UAC)이 비활 성화되어 있거나 사용자가 탑재된 관리자 계정 또는 서비스 계정인 경우에 한한다.
  •  
  • %%1937 - 유형 2: 제거된 권한이나 비활성화된 그룹이 없는 승격된 토큰이다. 승격된 토큰 이 사용되는 것은 UAC가 활성화되어 있고 사용자가 프로그램 구동을 ‘관리자로서 실행’을 선택 한 경우다. 승격된 토큰이 사용되는 또 다른 경우는 애플리케이션의 구성이 관리자 권한을 항시 요구하거나 최대 권한을 항시 요구하도록 되어있고 사용자가 관리자 그룹의 일원인 경우다.
  •  
  • %%1938 - 유형 3: UAC가 활성화되어 있고 사용자가 프로그램 구동을 단순히 [시 작] 메뉴에서 하는 경우의 정상 값이다. 관리 권한이 제거되어 있고 관리 그룹이 비활성화된 제한 된 토큰이다. 제한된 토큰이 사용되는 경우, 애플리케이션에 관리 권한이 요구되지 않으며 사용자 가 프로그램 구동 방식을 ‘관리자로서 실행’을 선택하지 않는 때이다.

이벤트 4688은 정상적인 시스 템 활동 작업을 나타내기 때문에 공격의 원천을 추적하는 용도로만 제한된다. 단, 이 이벤트는 공 격자가 시스템 접수를 시도할 때 발생하는 다음에 설명하는 것과 같은 다른 이벤트와 연관되는 경 우가 많다. 이벤트 4688은 일련의 공격이 진행될 때 먼저 발생하는 경우가 많다. 이는 공격자가 또 다른 이벤트를 시작하기 전에 애플리케이션을 구동했음을 나타낸다.


윈도우 보안 이벤트 로그ID 1102

이벤트 11 02는 감사 로그 정리와 관련이 있다. 감사 로그에서 이벤트 1102가 보이는 일은 그 로그를 일부러 정리하지 않은 이상 절대 없다. 공격자는 흔적을 덮기 위해 감사 로그를 정리하는 경우가 많다. 로 그가 정리되었다면 계정 접수를 의미하기 때문에 어떤 사용자가 로그를 정리했는지 파악해야 한 다. 이 이벤트가 발생할 때 알림이 뜨도록 설정해야 할 수도 있다.


윈도우 보안 이벤 트 로그ID 4670

어떤 사용자가 한 개체의 접속 통제 목록을 변경하면 이벤트 4670이 촉발된다. 공격자는 랜섬웨어 공격 수행이 나 권한을 상승하기 위해 접속 통제 목록을 변경하는 경우가 많다. 누가(또는 무엇이) 권한을 차 지하는지 추적하는 것은 주시해야 할 핵심 이벤트이다. 또한, 개체의 감사 정책, 특히 ‘DAC 쓰 기’/’권한 변경’ 또는 ‘소유권 차지’ 권한에 대한 감시 정책을 활성화하는 것이 좋다.


윈 도우 보안 이벤트 로그ID 4672

이벤트 이벤트 이벤트 이벤트 4672는 PtH(Pass-the-Hash) 공격이나 그 밖에 미미카츠(Mimikatz)와 같은 도구를 사용 한 권한 상승 공격의 가능성이 있음을 나타낸다. 네트워크에 이런 공격이 발생하고 있지 않은지 확인하려면 이 이벤트는 사용자가 계정에 로그인했음을 나타내는 이벤트 4624와 함께 추가 검토 가 필요할 수 있다.

이벤트 4672는 ‘신규 로그인에 부여된 특수 권한’을 의미한다. 이 이 벤트는 시스템 계정과 연계되는 것이 보통이다. 이 이벤트가 시스템에 로그인 하는 누군가를 나타 내는 표준 사용자 계정과 연계되는 경우, 해당 계정이 침해되어 횡적 이동에 이용되고 있는지 여 부를 판단하기 위해 조사에 나서야 한다. 

마이크로소프트가 밝힌 것처럼, ‘대상\ \보안 ID’는 잘 알려진 보안 주요 사항(로컬 시스템, 네트워크 서비스, 로컬 서비스)이 아니며, ‘ ‘대상\보안 ID’가 열거된 권한을 갖고 있는 것으로 예상되는 관리 계정이 아닌 이벤트가 없는지 감시해야 한다.

결합된 여러 가지 다른 이벤트가 PtH 공격을 암시하기도 한다. 사용자 환 경에 보안 기준을 적용해 해당 네트워크에 어떤 이벤트가 정상인지 파악하는 것이 현명하다. PtH 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다. PtH 공격 도중에 발생하는 이벤트가 다음 그림에 나와 있다.
 

모든 시스템에 모든 시스템에 모든 시스템에 모든 시스템에 Sysmon을 설치하면 PtH 공격과 관련된 추가 이벤트를 찾을 때 도움이 된다.


윈도우 디펜더 이벤트

윈도우 디펜더(Windows Defender)를 둘러 싼 이벤트를 검토해야 한다. 예를 들면, 이벤트 ID 1006은 악성코드 등 원치 않는 소프트웨어가 디펜더에 탐지될 때 촉발된다. 이벤트 1007도 주목해 야 한다. ‘악성코드 방지 플랫폼이 악성코드 등 잠재적으로 원치 않는 소프트웨어로부터 시스템 을 보호하기 위해 작업을 수행한 경우’이다. 

디펜더 이벤트는 하위 로그에 있다. 디펜 더 이벤트를 검토하려면 [이벤트 뷰어]를 열고 콘솔 트리에서 ‘애플리케이션 및 서비스 로그’와 ‘ ‘마이크로소프트’, ‘윈도우’, ‘윈도우 디펜더 안티바이러스’을 차례로 확장한 후에 ‘작동’을 2번 클 릭한다. [세부내용] 창에서 해당 이벤트를 찾아 클릭하여 세부내용을 확인한다.


시간을 들여 컴퓨터 시스템에 보안 기준을 적용해 어떤 이벤트가 정상인지 파악해야 한다.


                    수정/삭제     이전글 다음글    
번호구분장르제 목작성일
8730 정보  기타    구글 크롬북에서 윈도우 앱 사용한다 2020/06/22
8729 해킹  악성코드    “윈도우 정품인증하려 했더니”··· 불법 인증 툴 위장한 악... 2020/06/21
8728 보안  윈도10    모니터링해야 할 중요한 윈도우 10 보안 이벤트 로그 ID 2020/06/20
8727 보안  악성코드    '탈탈 털린 카드 정보' 해커 출신 변호사가 말하는 보안 방법 2020/06/19
8726 해킹  악성코드    해킹 위협받는 POS 단말기…"금융정보 다루지만 관리 사각지대" 2020/06/18
8725 활용팁  윈도10    트위치나 유투브로 스트리밍하기 위한 듀얼 PC 설정 방법 2020/06/17

 
처음 이전 다음       목록