Forensic Tools (Live CD)
#Caine
최근의 침해 경향이 주로 1차적으로 피싱과 스미싱을 통한 내부 정보 탈취를 통한 APT 공격이 수행된 이후에 다음 공격이 발생되게 되지만 서버에 직접적으로 취약점이나 설정 오류로 인한 침해가 발생되는 경우도 있다. 이러한 경우에 침해 당한 서버를 조사하다 보면 간다하게 로그에서 쉽게 침해 흔적을 발견하고 사고가 종료 되는 경우도 있지만 그렇지 않은 경우도 자주 발생한다. 실제로 서버에 접속을 해 보아도 아무런 흔적을 발견하지 못하는 경우도 있을 수 있다.
한참 Linux상에서 루트킷이 유행하던 시기에는 접속해도 아무런 흔적을 찾기 힘들었고 최근에도 역시 침해 당안 리눅스 서버에 파일 무결성 검사가 되지 않는다면 ls, ps, netstat 등의 관련 커멘드를 모두 변조한다면 역시나 침해 흔적을 쉽게 발견하지 못하는 경우도 있다.
실제 침해사고 조사를 수행할때에는 ls, ps, lsof, netstat 등의 필수 명령어의 바이너리를 간단한 USB에 넣고 다니면서 조사를 수행하지만 이러한 경우 기초적인 조사를 수행하기에는 좋으나 여기서 나아가 더 상세한 조사를 수행하기에는 힘든 경우가 많이 있다.
이러한 경우에 사용할 수 있는 USB or CD로 된 Live DISK를 소개한다.
1. Caine
https://www.hackingtutorials.org/digital-forensics/installing-caine-8-0-on-a-virtual-machine/
etc. Linux LEO
https://linuxleo.com/Docs/LinuxLeo_4.92.pdf
