윈도우 침해사고 대응 아티팩트 [1편]

윈도우 침해사고 대응 아티팩트: 사용자 활동 및 시스템 동작 이력 

본 문서는 윈도우 환경에서 침해사고 대응 시, 사용자 행위 및 시스템 동작 흔적을 분석하기 위한 핵심 아티팩트를 실전 중심으로 정리한 자료입니다. 각 항목은 다음 형식을 따릅니다:

• 아티팩트 설명
• 수집 방법 또는 경로
• 정상 출력 예시
• 침해 흔적 예시
• 분석 포인트

---

1. Windows Event Log (Security / System / Application)

설명: 시스템 전반의 행위 기반 이벤트 기록, 사용자 인증, 프로세스 생성 등 핵심 정보 확인 가능

수집 경로:

C:\Windows\System32\winevt\Logs\Security.evtx

정상 예시:

Event ID 4624 - Successful Logon
Logon Type: 2 (Interactive)

침해 예시:

Event ID 4624 - Logon Type: 3 (Network) from 203.0.113.42
Event ID 4720 - A user account was created (attacker)

분석 포인트:

• Logon Type 10: RDP, 3: Network, 4: Batch 등 유형별 분석 필수
• 이벤트 발생 시점과 사용자 ID, 원격 IP 조합 확인

---

2. Prefetch

설명: 실행된 프로그램의 이름과 마지막 실행 시간, 실행 횟수 기록

수집 경로:

C:\Windows\Prefetch\*.pf

정상 예시:

CMD.EXE - last run: 2024-06-21 10:45:32

침해 예시:

NC.EXE - last run: 2024-06-21 03:12:05

분석 포인트:

• 일반 시스템에 존재하지 않는 도구 실행 확인
• 시간 순 정렬하여 실행 타이밍 분석

---

3. ShimCache (AppCompatCache)

설명: 실행된 PE 파일 목록과 경로를 OS가 캐싱, 실행 여부 분석에 활용

수집 도구:

• AppCompatCacheParser (FireEye), RECmd

정상 예시:

C:\Windows\System32\notepad.exe
Last modified: 2023-12-01 14:33

침해 예시:

C:\Users\user1\AppData\Local\Temp\bd.exe
Last modified: 2024-06-21 03:11

분석 포인트:

• Prefetch 미생성 파일도 남는 경우 있음
• 타임라인 맞물릴 경우 실행 여부 판단 가능

---

4. AmCache.hve

설명: 실행된 바이너리의 해시, 경로, 첫 실행 시간 등을 기록

수집 도구:

• AmcacheParser, RECmd, KAPE

정상 예시:

File Name: chrome.exe
SHA1: xxx
ProgramID: {GUID}

침해 예시:

File Name: ransom.exe
SHA1: abc123...

분석 포인트:

• 실행 이력은 있지만 Prefetch가 없을 경우도 있음 → 비교 분석
• 해시 기반으로 바이러스 토탈 등 외부 연계 가능

---

5. SRUM (System Resource Usage Monitor)

설명: 앱/네트워크 사용량, 프로세스 단위 실행 히스토리, 사용자 활동 이력 확인 가능

수집 경로:

C:\Windows\System32\sru\SRUDB.dat

분석 도구:

• srum-dump, EvtxECmd, KAPE

정상 예시:

chrome.exe - user1 - 10MB sent/received - runtime 3m

침해 예시:

powershell.exe - user1 - 100MB sent - runtime 1h

분석 포인트:

• 평소 사용되지 않던 프로세스가 장시간 실행되었는지 여부 확인
• 네트워크 전송량 급증 여부도 체크

---

6. 최근 실행 프로그램 / 문서 / 자동 완성 경로

설명: 사용자가 실행한 앱, 열어본 파일, 탐색한 경로 등의 흔적

주요 위치:

• NTUSER.DAT - RecentDocs, UserAssist
• JumpLists, .lnk, Recent Items

분석 포인트:

• 공격자가 어떤 문서를 열었는지, 어떤 경로에 접근했는지 확인 가능
• LNK의 생성 시간, 대상 경로 등으로 추가 타임라인 분석 가능

---

다음 편에서는 WMI, Scheduled Task, LOLBin, 프로세스 인젝션 등 악성 실행 흔적과 실행 로직 분석으로 이어집니다.