| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- SoC
- cert
- THM
- 보안 스터디
- 정보보안
- 해킹 스터디
- OverTheWire
- 리눅스 기초
- XSS
- Web
- 정보보호
- Cross-Site Scripting
- TryHackMe
- Cyber Security
- 블루팀
- 모의해킹
- 리눅스
- Blue Team
- 사이버 보안
- Bandit
- linux
- 보안 관제
- IR
- web hacking
- write-up
- CTF
- http
- 해커
- 워게임
- 해킹
- Today
- Total
AnbyMata의 해킹 노트
[Blue Team] EP.8 - 로그인 및 인증 로그 분석 본문
[8-1] SSH 실패 vs SSH 성공
이상 패턴 (Red Flags)
- Brute Force = 단시간에 다수의 실패 후 로그인 성공
- Scanning = 존재하지 않는 계정을 포함한 다양한 계정명 시도
- Post-Exploitation = 로그인 직후 sudo, 파일 다운도르, 지속성 확보 행위
SSH 실패 로그
- invalid user = 시스템에 존재하니 않는 계정으로 접속 시도 → 자동화된 스캔 도구에 의한 목록 기반 공격 가능성
- 출발지 IP = 외부 IP에서 직접 시도되는 invalid user 접근 → 100% 차단 및 모니터링 대상
SSH 성공 로그
- password = 탈취 위험이 상대적으로 높은 인증 방식 → 실패 횟수가 많다면 계정 탈취 가능성이 높음
- publickey = 비교적 안전한 인증 방식 → 탈취된 키의 악용이나 authorized_keys 파일의 변조 여부 확인 필요
[8-2] 운영 오류들
Brute Force (무차별 대입 공격)
- 특정 계정의 비밀번호를 알아내기 위해 모든 조합을 시도하는 방식
= 한 계정 + 다수 비밀번호
- root 와 같은 특정 대상 계정에 대해 짧은 시간 동안 수백 번 이상의 실패 로그 발생
- 출발지 IP가 소수이고, 특정 계정 하나만을 집요하게 노림
Password Spraying (패스워드 스프레이 공격)
- 보안 정책 회피를 위해, 흔히 사용되는 비밀번호 몇 개를 수많은 계정에 대입해보는 방식
= 다수 계정 + 소수 비밀번호
- 여러 계정에 대해 실패 로그가 산발적으로 발생
- 시도 간격이 느려 탐지가 까다로움
- 동일 IP에서 여러 계정으로 로그인 시도 패턴이 보임
Operational Error (운영 오류)
- 공격이 아닌, 시스템 내부 설정이나 서비스 계정의 인증 정보 불일치 시 발생하는 현상
= 내부 서버 + 서비스 계정
- `backup-svc`와 같은 특정 서비스 계정에서 일정한 시간 간격으로 실패 반복
- 출발지가 내부 IP이거나 특정 주기성을 가지고 반복됨
[8-3] 키 기반 인증 (Key-based Authentication) 환경 분석
[ `authorized_keys` 변경 위험 ]
공격자가 서버에 접근한 뒤, 자신의 공개키를 `~/.ssh/authorized_keys`파일에 추가하면 생기는 문제점
→ 재진입 가능 = 사용자가 비밀번호를 변경해도 공격자는 키를 통해 언제든 로그인 가능
→ 가시성 부재 = auth.log(표준 인증 로그)에는 정상 사용자의 키인지 탈취된 키인지 직접 기록 안 됨
→ 보강 필수 = 텍스트 로그만으론 부족해 auditd, FIM, EDR 등의 보강 필요
[ 분석 흐름 ]
1. Accepted publickey 확인
- 인증 성공 로그 포착 후, 해당 사용자의 키 인증 패턴이 평소와 맞는지 확인
2. authorized_keys 파일 점검
- mtime(파일의 수정 시간)을 확인해 변경 여부 파악
- auditd 감사 로그가 있다면, 파일을 건드린 사용자를 역추적함
3. key fingerprint 비교
- 로그에 기록된 key의 fingerprint를 사전에 등록된 정상 키 목록과 대조하여 미인가 키인지 판별
4. 직전 sudo/권한 상승 추적
- 키가 심어지기 전, 비정상적인 권한 상승(sudo)이나 설정 변경 행위가 있었는지 확인
[8-4] 세션 관점의 데이터 확보
last (로그인 성공 기록 + 세션 지속 시간)
- 과거부터 현재까지의 전체 로그인/로그아웃 이력 조회
→ 특정 사용자의 세션의 유지 기간을 확인
lastb (실패 패턴 흔적)
- 실패한 로그인 시도만 기록된 `/var/log/btmp` 파일 조회
→ 특정 IP에서 반복되는 brute force 공격의 흔적을 빠르게 식별
who / w (현재 접속 중인 사용자 확인)
- 현재 시스템에 로그인해 있는 사용자 목록 조회
→ 사고 의심 시 생존해있는 세션을 확인하여 대응 우선순위 결정
[Blue Team] EP.8 - 로그인 및 인증 로그 분석. END.
'Blue Team (SOC) > Linux Log Analysis' 카테고리의 다른 글
| [Blue Team] EP.10 - 프로세스 / 명령 / 파일 / 네트워크 분석 (0) | 2026.05.01 |
|---|---|
| [Blue Team] EP.9 - 권한 상승 분석 (0) | 2026.04.24 |
| [Blue Team] EP.7 - Linux 로그 구조 및 파일 체계 (3) | 2026.04.20 |
| [Blue Team] EP.6 - Linux 로그 기초 (0) | 2026.04.19 |