[Sysmon]
- Micorosoft에서 제공하는 도구로, Window에서 발생하는 이벤트들을 로그로 저장
- Windows 시스템 서비스 및 장치 드라이버
- 시스템 재부팅 후에도 이벤트 로그 기록
- 프로세스 생성시 실행된 전체 명령어
- 부모 프로세스 정보
- 파일 해시 값
- 네트워크 열결 대상 IP, Port 기록 됨
| Event ID(= ID) | Name | Description | 참고 방안 |
| 1 | Process Create | 프로세스 생성 시 마다 기록 | 어떤 프로세스 수행, 명령어 사용, 누가 실행 했는지 기록 확인 |
| 2 | File Creation Time Changed | 파일 생성 시간 변경될 시 | 백도어 프로그램 생성 시각 조작시 확인 |
| 3 | Network Connection | 프로세스 TCP / UDP 연결 시작, 수신 | C2 서버 통신 탐지 |
| 11 | FileCreate | 새 파일 생성 또는 덮어쓰일 때 | 공격 도구, 페이로드 시스템 침투시 추적 |
| 12, 13 | Registry Add/Set | 레지스트리 키 또는 값 추가/삭제/설정 | 악성코드 시작시 자동 실행 되도록 레지스터 등록 탐지 |
| 22 | DNS Query | 프로세스 DNS 조회 | 공격자가 침투 흔적 지울 시 기록 확인 |
| 23 | File Delete | 파일 삭제 시 |
- 정보 수집에 사용된 명령어, 권한 상승, 측면 이동 등의 로그 확인 가능
- 이벤트 ID 11
- 정보 수집에 사용된 페이로드 및 생성된 작업 스케줄러 내용 확인 가능
- 네트워크 연결 이벤트인 ID 3 필터링 결과
- Powershell을 통한 동일한 목적지 IP(192.168.56.80) 통신 로그 확인 됨
'보안 > BAS(침해 및 공격 시뮬레이션)' 카테고리의 다른 글
| 실습 CALDERA - 데이터 수집 및 유출 (0) | 2026.05.07 |
|---|---|
| 실습 CALDERA - 명령 실행 및 탐지 회피 (0) | 2026.04.30 |
| 실습 CALDERA - 단말 측면이동 (0) | 2026.04.29 |
| 실습 CALDERA - 권한 상승 및 퍼시스턴스 (0) | 2026.04.27 |
| 실습 CALDERA - 단말의 정보 수집 (0) | 2026.04.24 |