IT-루이

서론

이 포스팅을 보시는 분들은

악성코드 분석 또는 본인 PC를 점검하면서

누가, 언제 서버/PC에 접속했는지 확인이 필요하신 분들일 겁니다.

아래 내용을 참고하셔서

윈도우 이벤트로그를 점검하시면

누가, 언제 서버/PC에 접속했는지 확인이 가능합니다.

지금부터 윈도우 이벤트로그 로그인 성공,실패에 대해

알아보도록 하겠습니다.

이벤트로그 Type

윈도우 이벤트로그에는 2가지 Type이 있습니다.

윈도우 xp, 윈도우서버 2003 이전과

윈도우 Vista, 윈도우서버 2008 이후로 나뉩니다.

Type1 적용 대상

Windows 2000, XP, 2003

Type2 적용대상

Windows Vista, 7, 2008 이후

로그인 성공/실패 이벤트 ID

Type별 로그인 성공/실패 이벤트 ID는 아래와 같습니다.

로그온 유형(logon type)

로그인 성공/실패 이벤트 로그를 보면

로그온 유형(logon type) 이라는 것이 있습니다.

로그온 유형(logon type)이라는 것은 어떤 방식으로 사용자가

접속하였는지에 대한 기록입니다.

로그온 유형에 따라 아래와 같이 분류할 수 있습니다.

이 중에서 “로그온 유형 10” 의 경우 원격 접속 이벤트로 사고 분석 시 가장 빈번히 활용되며,

워너크라이로 유명한 SMB 취약점을 이용한 공격의 경우 “로그온 유형 3” 을 활용하시면 됩니다.

실습 - 이벤트로그 확인해 보기

1. 실행창에서 eventvwr 를 입력 후 확인 버튼을 클릭하면
   이벤트 뷰어가 실행 됩니다.

2. Windows 로그 > 보안  우클릭 후 '현재 로그 필터링'을 클릭합니다.

3. 위에서 확인한 로그인 성공/실패에 대한 

   이벤트 ID를 입력 후 '확인'버튼을 클릭합니다.

   * 로그인 성공 로그만 보고 싶은 경우에는 4624 만 입력합니다.

   * 로그인 실패 로그만 보고 싶은 경우에는 4625 만 입력합니다.

마치며

추가 궁금하신 사항은 댓글로 남겨주시면

답글드리도록 하겠습니다.

악성코드 분석을 하면서 경험한 꿀팁들은

Security 카테고리에 포스팅하도록 하겠습니다.

추가 궁금하신 사항들은 댓글로 남겨주시면

아는 범위에서 최대한 답변 드리도록 하겠습니다. 

[이벤트로그] 예약작업 삭제 후에도 계속 동작하는 경우 조치 방법

서론

이 포스팅을 보시는 분들은

윈도우 서버나 PC 에서 예약작업을 삭제한 후에

예약작업 리스트에 나타나지도 않는데 

계속해서 예약작업이 동작하는 이슈가 있으실 겁니다.

이런 증상은 레지스트리에 예약작업 정보가

남아있어서 발생합니다.

아래 내용을 참고하셔서 조치하시면

문제가 되는 현상에 대한 조치가 가능합니다.

예약 작업 레지스트리 지우기

우선 레지스트리 편집기를 실행합니다.

> 실행창에서 regedit 입력 후 '확인' 버튼 클릭

    * 실행 여부를 묻는 팝업이 나타나면
      '예' 버튼을 클릭하시면 됩니다.

예약 작업과 관련된 레지스트리 경로는 아래와 같습니다.

아래 경로를 찾아서 쭉쭉 타고 내려가 주시면 됩니다.

이제 부터 약간의 노가다가 필요합니다.

Tasks 하위의 예약작업 리스트를 하나씩 클릭하면서

본인이 삭제하기를 원하는 예약작업을 찾아줍니다.

* 예약작업 이름은 Path에서 확인하시면 됩니다.

삭제를 원하는 예약작업을 찾으셨다면

해당 예약작업을 우클릭하신 후

'삭제'버튼을 클릭해주시면 됩니다.

삭제가 완료된 이후에는

PC를 한번 재시작해 주시면 됩니다.

이상으로 예약작업 삭제 후에도 동작하는 경우에

조치하는 방법에 대한 포스팅을 마치겠습니다.

마치며

예약작업 삭제 후에도 계속 동작하는 경우

조치하는 방법에 대해 알아봤습니다.

추가 궁금하신 사항은 댓글로 남겨주시면

답글드리도록 하겠습니다.

악성코드 분석을 하면서 경험한 꿀팁들은

Security 카테고리에 포스팅하도록 하겠습니다.

추가 궁금하신 사항들은 댓글로 남겨주시면

아는 범위에서 최대한 답변 드리도록 하겠습니다. 

#윈도우 서버 신규 서비스 생성 확인

서론

최근 악성코드들을 분석하다보면 

서비스를 만들고 그 서비스를 이용해서

악성코드를 다운로드 받고, 예약작업을 생성하는 것을 확인 할 수 있었습니다.

또한 악성코드가 원하는 작업이 마무리되면

해당 악성 서비스를 삭제해서 확인에 어려움이 있습니다.

악성코드 감염의 시작이라고 할 수 있는

신규 서비스가 생성 유무를 확인할 수 있는 방법을 포스팅 하도록 하겠습니다.

신규서비스 생성 확인 방법

가장 먼저 이벤트뷰어를 실행 시킨 후 System 로그에서

서비스 생성 관련 로그만 필터링 해서 확인하면 됩니다.

말로는 간단한데 아래 내용을 보면서 직접 따라해 보시기 바랍니다.

1. 실행창(Win + R) 실행

2. eventvwr 

3. Windows Logs > System 우클릭 > Filter Current Log 클릭

4. Event ID 입력창 > '7045' 입력 > 'OK' 버튼 클릭

5. 필터 링 된 이벤트 중 하나를 클릭해보면 

   아래와 같이 서비스명, 실행 파일명, 실행한 계정, 컴퓨터 이름 등을 확인 할 수 있습니다.

본인이 서버를 운영하면서 

생성한 서비스가 아닌지, 파일이 악성코드는 아닌지 점검 하신 후

불필요한 서비스나 악성 서비스는 제거해 주시기 바랍니다. 

마치며

악성코드 분석을 하면서 경험한 꿀팁들은

Security 카테고리에 포스팅하도록 하겠습니다.