윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.
윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.
Windows Event Log is a format that records system log in Windows operating system and methodically manages information about system operation. An event can be caused by system itself or by user's specific actions, and some event logs can be used for corporate security audits, malware detection and s...
Windows Event Log is a format that records system log in Windows operating system and methodically manages information about system operation. An event can be caused by system itself or by user's specific actions, and some event logs can be used for corporate security audits, malware detection and so on. In this paper, we choose actions related to corporate security audit and malware detection (External storage connection, Application install, Shared folder usage, Printer usage, Remote connection/disconnection, File/Registry manipulation, Process creation, DNS query, Windows service, PC startup/shutdown, Log on/off, Power saving mode, Network connection/disconnection, Event log deletion and System time change), which can be detected through event log analysis and classify event IDs that occur in each situation. Also, the existing event log tools only include functions related to the EVTX file parse and it is difficult to track user's behavior when used in a forensic investigation. So we implemented new analysis tool in this study which parses EVTX files and user behaviors.
Windows Event Log is a format that records system log in Windows operating system and methodically manages information about system operation. An event can be caused by system itself or by user's specific actions, and some event logs can be used for corporate security audits, malware detection and so on. In this paper, we choose actions related to corporate security audit and malware detection (External storage connection, Application install, Shared folder usage, Printer usage, Remote connection/disconnection, File/Registry manipulation, Process creation, DNS query, Windows service, PC startup/shutdown, Log on/off, Power saving mode, Network connection/disconnection, Event log deletion and System time change), which can be detected through event log analysis and classify event IDs that occur in each situation. Also, the existing event log tools only include functions related to the EVTX file parse and it is difficult to track user's behavior when used in a forensic investigation. So we implemented new analysis tool in this study which parses EVTX files and user behaviors.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
특정 이벤트에 북마크를 설정하여 필요시에 빠르게 이동할 수 있고, 로그 파일 별 출력(인쇄) 기능을 제공한다. 또한, 적용한 필터를 파일 형태(*.elc)로 저장하여 다시 사용가능하며, 설정한 기준(이벤트 ID별, 날짜별, PC별 등)에 따른 이벤트 발생 빈도를 분석하여 보고서를 제공한다. 그러나 이벤트 뷰어의 단점을 보완하지 못할 뿐만 아니라, 레코드별 메타데이터와 메시지에 사용자가 제어판에서 설정한 지역별 언어가 제대로 반영되지 않는다는 단점이 있다.
본 연구에서는 기업 보안 감사 및 악성행위 탐지 시 확인해야 할 행위를 선정하고, 이와 관련된 이벤트 ID와 메시지를 분석하였다. 또한, 현재까지 개발된 분석도구의 단점을 보완하여 행위기반의 이벤트 로그 분석도구를 개발하였으며, 이를 활용하여 외부장치 사용, 원격 연결, 파일/레지스트리 조작 및 이벤트 로그 삭제와 같은 행위의 발생 시각 및 상세 정보를 획득할 수 있다.
본 연구에서는 기존 분석기능과 함께 기업 감사와 악성코드 행위 분석에서 효율적으로 사용할 수 있는 분석도구를 개발하였다. 새롭게 구현한 윈도우 이벤트 로그 분석도구는 2, 3장의 체크리스트로 필터링을 적용, 사용자의 행위에 기반하여 결과를 출력한다.
제안 방법
FSPro에서 개발한 Event Log Explorer는 Business(상용)와 Home(무료) 에디션으로 제공된다[5]. EVTX 형식을 사용하는 모든 윈도우 버전(Vista, 7, 8, 10)에서 이벤트 로그 분석이 가능하며, 본 연구에서는 4.6 버전, Home 에디션을 사용하였다. 파일 단위 분석, 저장된 로그 분석, 필터링 등 이벤트 뷰어의 기능과 더불어 추가적인 기능을 제공한다.
즉, 파일명에 따라 EVTX 파일들을 분류하며, 관련 없는 파일은 나머지 단계에서 고려하지 않는다. 두 번째로, 분류된 EVTX 파일을 분석하고, 관련 있는 로그 데이터를 추출한다. EVTX 파일은 여러 개의 레코드(record)로 구성되어 있으며, 하나의 레코드는 Binary XML 구조에 따라 특정 이벤트의 메타데이터를 저장한다[6].
또한 포렌식 수사에 특화된 이벤트 로그 분석도구를 개발하였다. 현재 사용되고 있는 도구는 각 이벤트 로그 파일에 대한 단순 파싱 기능을 지원하고, 수사관이 원하는 이벤트 ID에 대해 직접 필터링을 적용해야 한다.
본 연구에서는 기업 보안 감사 및 악성행위 탐지 시 확인해야 할 행위를 선정하고, 이와 관련된 이벤트 ID와 메시지를 분석하였다. 또한, 현재까지 개발된 분석도구의 단점을 보완하여 행위기반의 이벤트 로그 분석도구를 개발하였으며, 이를 활용하여 외부장치 사용, 원격 연결, 파일/레지스트리 조작 및 이벤트 로그 삭제와 같은 행위의 발생 시각 및 상세 정보를 획득할 수 있다.
외장 저장장치, 응용 프로그램 설치, 원격 연결, 프린터 사용 등의 의미 있는 데이터가 기록되어 있으나, 다량의 로그 중 연관 있는 데이터를 선별하기 어려워 포렌식 수사에서의 활용도가 낮다. 이에 본 연구에서는 기업 감사 및 악성코드 탐지 시 확인해야 할 행위와 관련된 이벤트 로그 파일 및 ID를 분석하였다(Table 20.).
대상 데이터
EVTX 파일은 여러 개의 레코드(record)로 구성되어 있으며, 하나의 레코드는 Binary XML 구조에 따라 특정 이벤트의 메타데이터를 저장한다[6]. 분석된 레코드의 이벤트 ID, 작업 범주와 3장의 체크리스트를 비교하여 필요한 레코드만 수집한다. 마지막으로, 시스템 내에서 수집된 레코드의 이벤트 ID에 해당하는 이벤트 메시지를 찾는다.
후속연구
기업의 주요 영업 비밀은 외부 저장장치, 응용 프로그램, 출력물 형태 등 다양한 경로로 유출될 수 있다. 또한, PC 시작/종료 시간 및 절전모드 전환 관련 정보는 근무태만 여부를 판단할 수 있는 요소이며, 이벤트 로그 삭제 및 시스템 시간 변경과 같은 안티 포렌식 행위가 이루어졌는지 확인해야 한다. 본 장에서는 기업 보안 감사 시 조사해야 할 이벤트 로그를 분석한다.
윈도우 7의 경우 이벤트 ID 307에서 문서 이름과 응용프로그램 정보를 추가적으로 확인 가능하며, 로그에 기록되는 문서 이름을 확인해 기밀문서의 출력 여부를 판단할 수 있다. 또한, 짧은 시간 내에 비정상적으로 문서 출력 횟수가 많거나 출력 크기가 큰 시간대가 존재하는지 확인할 필요가 있다.
기존 이벤트 로그 분석도구는 로컬 PC상의 문제점을 확인하기 편리한 구조로 설계되어 있어, 현재 포렌식 수사에서 활용하기에 어려움이 있다. 이에 단순 분석 기능을 확장한 새로운 분석도구를 개발하였으며, 기업 보안 감사 및 악성코드 행위 탐지 시 사용될 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
기업의 주요 영업 비밀은 어떠한 경로로 유출될 수 있는가?
기업의 주요 영업 비밀은 외부 저장장치, 응용 프로그램, 출력물 형태 등 다양한 경로로 유출될 수 있다. 또한, PC 시작/종료 시간 및 절전모드 전환 관련 정보는 근무태만 여부를 판단할 수 있는 요소이며, 이벤트 로그 삭제 및 시스템 시간 변경과 같은 안티 포렌식 행위가 이루어졌는지 확인해야 한다.
윈도우 이벤트 로그(Windows Event Log)란 무엇인가?
윈도우 이벤트 로그(Windows Event Log)는 윈도우 Vista부터 시스템과 애플리케이션의 작동 상태 및 사용자의 행위에 따라 발생하는 모든 동작에 대한 기록을 EVTX (Windows XML Event Log) 파일 형식으로 관리하는 기능이다. 애플리케이션, 운영체제 또는 다른 시스템 구성요소는 중요한 이벤트를 기록하고, 시스템 관리자는 에러 발생 시 로그를 확인하여 원인을 찾거나 주기적인 로그 확인을 통해 디스크 손상과 같은 심각한 문제를 미리 대비할 수 있다[1].
윈도우 이벤트 로그(Windows Event Log)를 통해 어떠한 문제를 대비할 수 있는가?
윈도우 이벤트 로그(Windows Event Log)는 윈도우 Vista부터 시스템과 애플리케이션의 작동 상태 및 사용자의 행위에 따라 발생하는 모든 동작에 대한 기록을 EVTX (Windows XML Event Log) 파일 형식으로 관리하는 기능이다. 애플리케이션, 운영체제 또는 다른 시스템 구성요소는 중요한 이벤트를 기록하고, 시스템 관리자는 에러 발생 시 로그를 확인하여 원인을 찾거나 주기적인 로그 확인을 통해 디스크 손상과 같은 심각한 문제를 미리 대비할 수 있다[1]. 하나의 이벤트는 메타데이터(원본, GUID, 로그된 날짜, 이벤트 ID, 작업 범주, 수준 등)와 메시지로 구성되어 있다.
참고문헌 (8)
Microsoft Developer Network, https://msdn.microsoft.com/ko-kr/library/windows/desktop/aa363632(vvs.85).aspx
Ultimate Windows Security, https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID4663
※ AI-Helper는 부적절한 답변을 할 수 있습니다.