2020.06.19

모니터링해야 할 중요한 윈도우 10 보안 이벤트 로그 ID

Susan Bradley | CSO
윈도우 10 이벤트 로그(event logs) 감시는 네트워크 상의 악성 활동을 탐지할 수 있는 최선의 방법 가운데 하나다. 그렇다면 어떤 이벤트 ID를 주시해야 할까? 주목해야 할 가장 중요한 유형의 로그 이벤트와 이를 통해 알 수 있는 내용은 다음과 같다.
 
ⓒ Getty Images Bank


윈도우 보안 이벤트 로그 ID 4688

이벤트 4688에는 컴퓨터에서 실행된 각 프로그램과 식별 데이터, 그리고 이를 구동한 프로세스가 기록된다. 사용자가 시스템에 로그인하면 여러 개의 이벤트 4688이 발생한다. 예를 들면, 로그인 시점에 세션 관리자 하부시스템(SMSS.exe)이 실행되고 이벤트 4688이 기록된다. 또한, 기록된 토큰 승격 유형을 보면 어떤 사용자 권한이 프로그램과 관련되어 있는지 알 수 있다. 이들 토큰은 계정 권한을 나타낸다.
 
  • %%1936 - 유형 1: 제거된 권한이나 비활성화된 그룹이 없는 완전한 토큰이다. 완전한 토큰이 사용되는 경우는 사용자 계정 컨트롤(User Account Control, UAC)이 비활성화되어 있거나 사용자가 탑재된 관리자 계정 또는 서비스 계정인 경우에 한한다.
  •  
  • %%1937 - 유형 2: 제거된 권한이나 비활성화된 그룹이 없는 승격된 토큰이다. 승격된 토큰이 사용되는 것은 UAC가 활성화되어 있고 사용자가 프로그램 구동을 ‘관리자로서 실행’을 선택한 경우다. 승격된 토큰이 사용되는 또 다른 경우는 애플리케이션의 구성이 관리자 권한을 항시 요구하거나 최대 권한을 항시 요구하도록 되어있고 사용자가 관리자 그룹의 일원인 경우다.
  •  
  • %%1938 - 유형 3: UAC가 활성화되어 있고 사용자가 프로그램 구동을 단순히 [시작] 메뉴에서 하는 경우의 정상 값이다. 관리 권한이 제거되어 있고 관리 그룹이 비활성화된 제한된 토큰이다. 제한된 토큰이 사용되는 경우, 애플리케이션에 관리 권한이 요구되지 않으며 사용자가 프로그램 구동 방식을 ‘관리자로서 실행’을 선택하지 않는 때이다.

이벤트 4688은 정상적인 시스템 활동 작업을 나타내기 때문에 공격의 원천을 추적하는 용도로만 제한된다. 단, 이 이벤트는 공격자가 시스템 접수를 시도할 때 발생하는 다음에 설명하는 것과 같은 다른 이벤트와 연관되는 경우가 많다. 이벤트 4688은 일련의 공격이 진행될 때 먼저 발생하는 경우가 많다. 이는 공격자가 또 다른 이벤트를 시작하기 전에 애플리케이션을 구동했음을 나타낸다.


윈도우 보안 이벤트 로그ID 1102

이벤트 1102는 감사 로그 정리와 관련이 있다. 감사 로그에서 이벤트 1102가 보이는 일은 그 로그를 일부러 정리하지 않은 이상 절대 없다. 공격자는 흔적을 덮기 위해 감사 로그를 정리하는 경우가 많다. 로그가 정리되었다면 계정 접수를 의미하기 때문에 어떤 사용자가 로그를 정리했는지 파악해야 한다. 이 이벤트가 발생할 때 알림이 뜨도록 설정해야 할 수도 있다.


윈도우 보안 이벤트 로그ID 4670

어떤 사용자가 한 개체의 접속 통제 목록을 변경하면 이벤트 4670이 촉발된다. 공격자는 랜섬웨어 공격 수행이나 권한을 상승하기 위해 접속 통제 목록을 변경하는 경우가 많다. 누가(또는 무엇이) 권한을 차지하는지 추적하는 것은 주시해야 할 핵심 이벤트이다. 또한, 개체의 감사 정책, 특히 ‘DAC 쓰기’/’권한 변경’ 또는 ‘소유권 차지’ 권한에 대한 감시 정책을 활성화하는 것이 좋다.


윈도우 보안 이벤트 로그ID 4672

이벤트 4672는 PtH(Pass-the-Hash) 공격이나 그 밖에 미미카츠(Mimikatz)와 같은 도구를 사용한 권한 상승 공격의 가능성이 있음을 나타낸다. 네트워크에 이런 공격이 발생하고 있지 않은지 확인하려면 이 이벤트는 사용자가 계정에 로그인했음을 나타내는 이벤트 4624와 함께 추가 검토가 필요할 수 있다.

이벤트 4672는 ‘신규 로그인에 부여된 특수 권한’을 의미한다. 이 이벤트는 시스템 계정과 연계되는 것이 보통이다. 이 이벤트가 시스템에 로그인 하는 누군가를 나타내는 표준 사용자 계정과 연계되는 경우, 해당 계정이 침해되어 횡적 이동에 이용되고 있는지 여부를 판단하기 위해 조사에 나서야 한다. 

마이크로소프트가 밝힌 것처럼, ‘대상\보안 ID’는 잘 알려진 보안 주요 사항(로컬 시스템, 네트워크 서비스, 로컬 서비스)이 아니며, ‘대상\보안 ID’가 열거된 권한을 갖고 있는 것으로 예상되는 관리 계정이 아닌 이벤트가 없는지 감시해야 한다.

결합된 여러 가지 다른 이벤트가 PtH 공격을 암시하기도 한다. 사용자 환경에 보안 기준을 적용해 해당 네트워크에 어떤 이벤트가 정상인지 파악하는 것이 현명하다. PtH 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다. PtH 공격 도중에 발생하는 이벤트가 다음 그림에 나와 있다.
 

모든 시스템에 Sysmon을 설치하면 PtH 공격과 관련된 추가 이벤트를 찾을 때 도움이 된다.


윈도우 디펜더 이벤트

윈도우 디펜더(Windows Defender)를 둘러 싼 이벤트를 검토해야 한다. 예를 들면, 이벤트 ID 1006은 악성코드 등 원치 않는 소프트웨어가 디펜더에 탐지될 때 촉발된다. 이벤트 1007도 주목해야 한다. ‘악성코드 방지 플랫폼이 악성코드 등 잠재적으로 원치 않는 소프트웨어로부터 시스템을 보호하기 위해 작업을 수행한 경우’이다. 

디펜더 이벤트는 하위 로그에 있다. 디펜더 이벤트를 검토하려면 [이벤트 뷰어]를 열고 콘솔 트리에서 ‘애플리케이션 및 서비스 로그’와 ‘마이크로소프트’, ‘윈도우’, ‘윈도우 디펜더 안티바이러스’을 차례로 확장한 후에 ‘작동’을 2번 클릭한다. [세부내용] 창에서 해당 이벤트를 찾아 클릭하여 세부내용을 확인한다.



시간을 들여 컴퓨터 시스템에 보안 기준을 적용해 어떤 이벤트가 정상인지 파악해야 한다. editor@itworld.co.kr 


2020.06.19

모니터링해야 할 중요한 윈도우 10 보안 이벤트 로그 ID

Susan Bradley | CSO
윈도우 10 이벤트 로그(event logs) 감시는 네트워크 상의 악성 활동을 탐지할 수 있는 최선의 방법 가운데 하나다. 그렇다면 어떤 이벤트 ID를 주시해야 할까? 주목해야 할 가장 중요한 유형의 로그 이벤트와 이를 통해 알 수 있는 내용은 다음과 같다.
 
ⓒ Getty Images Bank


윈도우 보안 이벤트 로그 ID 4688

이벤트 4688에는 컴퓨터에서 실행된 각 프로그램과 식별 데이터, 그리고 이를 구동한 프로세스가 기록된다. 사용자가 시스템에 로그인하면 여러 개의 이벤트 4688이 발생한다. 예를 들면, 로그인 시점에 세션 관리자 하부시스템(SMSS.exe)이 실행되고 이벤트 4688이 기록된다. 또한, 기록된 토큰 승격 유형을 보면 어떤 사용자 권한이 프로그램과 관련되어 있는지 알 수 있다. 이들 토큰은 계정 권한을 나타낸다.
 
  • %%1936 - 유형 1: 제거된 권한이나 비활성화된 그룹이 없는 완전한 토큰이다. 완전한 토큰이 사용되는 경우는 사용자 계정 컨트롤(User Account Control, UAC)이 비활성화되어 있거나 사용자가 탑재된 관리자 계정 또는 서비스 계정인 경우에 한한다.
  •  
  • %%1937 - 유형 2: 제거된 권한이나 비활성화된 그룹이 없는 승격된 토큰이다. 승격된 토큰이 사용되는 것은 UAC가 활성화되어 있고 사용자가 프로그램 구동을 ‘관리자로서 실행’을 선택한 경우다. 승격된 토큰이 사용되는 또 다른 경우는 애플리케이션의 구성이 관리자 권한을 항시 요구하거나 최대 권한을 항시 요구하도록 되어있고 사용자가 관리자 그룹의 일원인 경우다.
  •  
  • %%1938 - 유형 3: UAC가 활성화되어 있고 사용자가 프로그램 구동을 단순히 [시작] 메뉴에서 하는 경우의 정상 값이다. 관리 권한이 제거되어 있고 관리 그룹이 비활성화된 제한된 토큰이다. 제한된 토큰이 사용되는 경우, 애플리케이션에 관리 권한이 요구되지 않으며 사용자가 프로그램 구동 방식을 ‘관리자로서 실행’을 선택하지 않는 때이다.

이벤트 4688은 정상적인 시스템 활동 작업을 나타내기 때문에 공격의 원천을 추적하는 용도로만 제한된다. 단, 이 이벤트는 공격자가 시스템 접수를 시도할 때 발생하는 다음에 설명하는 것과 같은 다른 이벤트와 연관되는 경우가 많다. 이벤트 4688은 일련의 공격이 진행될 때 먼저 발생하는 경우가 많다. 이는 공격자가 또 다른 이벤트를 시작하기 전에 애플리케이션을 구동했음을 나타낸다.


윈도우 보안 이벤트 로그ID 1102

이벤트 1102는 감사 로그 정리와 관련이 있다. 감사 로그에서 이벤트 1102가 보이는 일은 그 로그를 일부러 정리하지 않은 이상 절대 없다. 공격자는 흔적을 덮기 위해 감사 로그를 정리하는 경우가 많다. 로그가 정리되었다면 계정 접수를 의미하기 때문에 어떤 사용자가 로그를 정리했는지 파악해야 한다. 이 이벤트가 발생할 때 알림이 뜨도록 설정해야 할 수도 있다.


윈도우 보안 이벤트 로그ID 4670

어떤 사용자가 한 개체의 접속 통제 목록을 변경하면 이벤트 4670이 촉발된다. 공격자는 랜섬웨어 공격 수행이나 권한을 상승하기 위해 접속 통제 목록을 변경하는 경우가 많다. 누가(또는 무엇이) 권한을 차지하는지 추적하는 것은 주시해야 할 핵심 이벤트이다. 또한, 개체의 감사 정책, 특히 ‘DAC 쓰기’/’권한 변경’ 또는 ‘소유권 차지’ 권한에 대한 감시 정책을 활성화하는 것이 좋다.


윈도우 보안 이벤트 로그ID 4672

이벤트 4672는 PtH(Pass-the-Hash) 공격이나 그 밖에 미미카츠(Mimikatz)와 같은 도구를 사용한 권한 상승 공격의 가능성이 있음을 나타낸다. 네트워크에 이런 공격이 발생하고 있지 않은지 확인하려면 이 이벤트는 사용자가 계정에 로그인했음을 나타내는 이벤트 4624와 함께 추가 검토가 필요할 수 있다.

이벤트 4672는 ‘신규 로그인에 부여된 특수 권한’을 의미한다. 이 이벤트는 시스템 계정과 연계되는 것이 보통이다. 이 이벤트가 시스템에 로그인 하는 누군가를 나타내는 표준 사용자 계정과 연계되는 경우, 해당 계정이 침해되어 횡적 이동에 이용되고 있는지 여부를 판단하기 위해 조사에 나서야 한다. 

마이크로소프트가 밝힌 것처럼, ‘대상\보안 ID’는 잘 알려진 보안 주요 사항(로컬 시스템, 네트워크 서비스, 로컬 서비스)이 아니며, ‘대상\보안 ID’가 열거된 권한을 갖고 있는 것으로 예상되는 관리 계정이 아닌 이벤트가 없는지 감시해야 한다.

결합된 여러 가지 다른 이벤트가 PtH 공격을 암시하기도 한다. 사용자 환경에 보안 기준을 적용해 해당 네트워크에 어떤 이벤트가 정상인지 파악하는 것이 현명하다. PtH 공격 도중에 발생하는 이벤트가 다음 표에 나와 있다. PtH 공격 도중에 발생하는 이벤트가 다음 그림에 나와 있다.
 

모든 시스템에 Sysmon을 설치하면 PtH 공격과 관련된 추가 이벤트를 찾을 때 도움이 된다.


윈도우 디펜더 이벤트

윈도우 디펜더(Windows Defender)를 둘러 싼 이벤트를 검토해야 한다. 예를 들면, 이벤트 ID 1006은 악성코드 등 원치 않는 소프트웨어가 디펜더에 탐지될 때 촉발된다. 이벤트 1007도 주목해야 한다. ‘악성코드 방지 플랫폼이 악성코드 등 잠재적으로 원치 않는 소프트웨어로부터 시스템을 보호하기 위해 작업을 수행한 경우’이다. 

디펜더 이벤트는 하위 로그에 있다. 디펜더 이벤트를 검토하려면 [이벤트 뷰어]를 열고 콘솔 트리에서 ‘애플리케이션 및 서비스 로그’와 ‘마이크로소프트’, ‘윈도우’, ‘윈도우 디펜더 안티바이러스’을 차례로 확장한 후에 ‘작동’을 2번 클릭한다. [세부내용] 창에서 해당 이벤트를 찾아 클릭하여 세부내용을 확인한다.



시간을 들여 컴퓨터 시스템에 보안 기준을 적용해 어떤 이벤트가 정상인지 파악해야 한다. editor@itworld.co.kr 


X