[windows] 윈도우 이벤트 evtx (1) - 분석 기초

 윈도우시스템은 시스템의 활동이나 사용자의 행위로 인해 발생하는 다양한 이벤트드를 기록하고 있다. 이것을 바로 윈도우 이벤트라고 하는데, 기본적으로 제공하는 윈도우 이벤트 뷰어로 확인이 가능 하다.

필자가 매우 사랑하는 win+r 실행을 켠 다음 eventvwr.msc 를 실행해주자

기본 이벤트 뷰어다. 기본 이벤트뷰어의 인터페이스는 다소 불편하지만 몇 가지 장점이 있다.

1. 이벤트 덤프가 가능하다
2. 비활성화 되어있는 이벤트 활성화가 가능하다
3. 이벤트 기록에 대한(파일 크기, overwrite) 설정 변경이 가능하다.

이런 부분들은 다음에 다루기로 하고, 오늘은 이 이벤트를 어떻게 활용하는지 한번 보겠다. 참고로 필자가 좋아하는 이벤트 분석 프로그램은 MS 에서 개발한 message analyzer다. 지원이 끝났기 때문에 공식적으로 다운받을 수 있는 곳은 없고, github 저장소를 통해 받을 수 있다.

https://github.com/riverar/messageanalyzer-archive

GitHub - riverar/messageanalyzer-archive: Microsoft Message Analyzer EOL Archive

 

1. 이벤트 로그 구조

아래 사진은 windows 11 의 감사 이벤트(security.evtx)중 4624 즉 로그온 성공에 관련된 기록 중 하나다. 

 로그온 프로세스 생성 주체, 로그온 대상, 로그온 정보, 네트워크 정보 등 다양한 정보들을 포함하고 있다. 이벤트 로그는 그 양이 방대하고 이벤트마다 포함하고 있는 정보가 다르다. 따라서 원하는 정보를 얻으려면 다양한 이벤트들을 연구하고, 상황에 따라 살펴볼 이벤트에 대한 전략을 잘 설정해야 한다.

 

2. 로그온 성공 4624 이벤트 분석

자 다시 위 그림으로 돌아가보자. 제일먼저 '주체' 가 눈에 띈다. 이 주체는 해당 이벤트를 트리거한 계정을 나타낸다. 분석 해 보자면 다음과 같다.

주체 :

• 보안 ID : SYSTEM ( SID . S-1-5-18 = SYSTEM)
• 계정 이름 : DESKTOP-024PREG$ (이벤트를 실행한 컴퓨터 이름, $는 컴퓨터임을 의미)
• 계정 도메인 : WORKGROUP ( 계정이 속한 도메인. WORKGROUP은 로컬환경에서 생성, 다른 값이면 AD )
• 로그온 ID : 계정 별 고유식별자

요약하자면 컴퓨터에서 로그온 이벤트를 시작했고, 이 SYSTEM 계정은 로컬에서 생성되었음을 의미한다. 또 SYSTEM 계정인 이유는 윈도우 시스템에서 로그온을 담당하는 Lsass.exe가 SYSTEM 계정 권한으로 작업을 수행하기 때문이다.

로그온 정보 :

• 로그온 유형 : 7

윈도우 로그온 이벤트 4624에는 0-13 에서 1과 6을 제외하고 12개 유형이 존재한다. 이 중 사용자와 상호작용으로 발생하는 이벤트는 2, 3, 7, 10 이다.

• 2 : 키보드 또는 마우스를 사용해 직접 로컬에서 로그인
• 3 : 네트워크 인증 ( 프린트, smb, 파일공유 등)
• 7 : 잠금화면 해제, 또는 생성되어있는 세션에 재 연결 (화면보호기 종료시에도 7 발생)
• 10 : 터미널이나 RDP를 사용한 원격 연결

현재 필자는 미리 생성된 세션에 RDP로 접속했으므로 로그온 유형 7로 기록되었다.

새 로그온 :

• 보안 ID : DESKTOP-024PERG/winuser (위와 동일하다 SID)
• 계정 이름 : winuser( 로그온 대상 계정, 실제 로그온에 사용한 계정 )
• 계정 도메인 : DESKTOP-024PERG ( 계정이 속한 도메인 )
• 로그온 ID : 0x3F4599F ( 세션 식별을 위한 세션의 고유값 )
• 연결된 로그온 ID : 0x3F458DA ( '로그온 ID' 세션과 연결된 다른 세션의 ID )

로컬 환경의 winuser 계정이 로그온에 사용 되었고, 이 계정은 DESKTOP-024PERG 도메인에 속한 계정임을 알 수 있다. 그 외에 세션 마다 부여되는 고유 ID로 사용자의 활동을 특정지을 수 있다.

프로세스 정보:

• 프로세스 ID : 0x844 (PID)
• 프로세스 이름 : C:/Windows/System32/svchost3.exe ( 프로세스 명)

네트워크 정보:

• 워크스테이션 이름 : DESKTOP-024PERG ( 연결을 요청한 client의 호스트네임이나 NetBIOS 이름이 기록 )
• 원본 네트워크 주소 : 119.201.55.205 ( 로그인을 시도한 IP )

연결을 요청한 클라이언트의 정보를 알 수 있다. IP와 호스트 이름이 특정되는데, 이 경우 IP는 클라이언트가 맞지만 호스트 이름이 클라이언트가 아닌 내 서버의 IP가 남았다. 이유는 잘 몰?루 겠다..

 

3. 참조

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624

4624(S) An account was successfully logged on. - Windows 10