nist - Data Leakage Case(1) 4~7

4. What is the timezone setting?

수집된 단말기 이미지의 설정된 시간대는 무엇인지 확인하라고 합니다.

설정된 시간대에 따라 사건 타임라인이 달라질 수 있기 때문에 매우 중요한 요소 중 하나죠? 바로 확인해 보도록 하겠습니다.

 

 

레지스트리 정보를 통해 시간대 정보를 확인하는 정보는 아래 이글루 시큐리티를 참고하였습니다.

One Step Ahead 이글루시큐리티

 

 

HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation 경로에 들어가서 보면 데이터를 확인할 수 있다고 합니다.

저번에 추출한 SYSTEM 파일을 레지스트리 뷰어에 넣고 해당 경로에 가보면 다음과 같은 정보를 얻을 수 있습니다.

 

 

시간대가 Estern Standard Time으로 시간대 설정이 되어 있음을 확인할 수 있습니다.

 

5. What is the computer name?

해당 단말기의 이름을 알아내야 하는 듯합니다.

단말기의 이름은 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Control\ComputerName\ComputerName 경로에 존재합니다.

 

 

단말기의 이름은 INFORMANT-PC입니다.

 

6.List all accounts in OS except the system accounts: Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date …)

운영체제 기본 계정을 제외하고 존재하는 계정들의 리스트를 찾아라고 합니다.

컴퓨터의 사용 계정 이름과 로그인 관련 정보는 SAM, srm, lsa 부분의 로그 파일을 확인하면 됩니다.

(정보보안기사에서도 자주 다루는 토픽입니다.)

 

SAM 파일을 추출한 뒤 Domain\Accounts\Names에 들어가면 모든 계정들의 이름을 확인할 수 있습니다.

 

 

기본 계정을 제외한다면 admin11, informant, ITechTeam, temporary가 있군요.

여기서 로그인 시간과 기타 정보 모두 확인이 가능합니다.

(registry explorer가 버전이 낮아서 업그레이드하고 왔습니다!!!)

 

 

 

7. Who was the last user to logon into PC?

아까 SAM 파일을 통해 로그인 시간과 계정 정보들을 확인했습니다.

가장 마지막에 로그인 한 계정은 2015-03-25 14:45:59에 접근한 informant 계정입니다.