침해 사고대응 : MAC Time 분석

침해사고분석에 있어서 MAC Time 갖는 의미는 대단히 중요합니다.

공격자의 행동유형을 시간대별로 재구성할 수 있기 때문입니다.

이를 Timeline 이라고도 합니다.

 

그럼 MAC Time은 무엇일까요?

M : Modify - 파일 및 디렉토리 내용 수정

A : Access - 파일 및 디렉토리 접근 시간 (내용을 확인하려면 최소한 접근은 해야겠죠! 읽기 R)

C : Change - 파일 및 디렉토리 권한 변경

을 의미합니다.

주의할 점은 Linux에서 파일 및 디렉토리의 속성 정보에 있는 시간은 마지막으로 수정한 시간입니다.

더불어 파일의 내용을 수정하면 Modify와 Change 시간이 동시에 변한다는 점입니다.

 

위에 설명드린 모든 사항을 stat와 cat, change 명령어를 통해서 실습해 보도록 하겠습니다.

 

1. 파일 생성

 1.1. 파일을 생성합니다.

  1.1.1. # vi test.txt   파일 생성

  1.1.2. 내용은 아무거나 입력하세요!

  1.1.3. # stat test.txt  MAC Time 확인

stat를 통한 MAC Time 확인

 1.2. 마지막으로 파일을 수정한 시간 확인

  1.2.1. # ls -l  명령어를 이용하여 파일 속성 정보 중 '마지막으로 파일을 수정한 시간' 정보 확인

  1.2.2. stat 명령어와 동일한 시간. 단 아직까지는 어느 부분과 일치하는지 알 수 없습니다.

파일 수정 시간 확인

 

2. Access 시간 변경

 2.1. 파일 접근을 통해 Access 시간 변경

  2.1.1. # cat test.txt 

  2.1.2. 생성한 파일을 cat 명령어를 이용해 접근

  2.1.3. # stat test.txt

  2.1.4. Access 시간 변경 확인

  2.1.5. # ls -l

  2.1.6. 파일 속성 정보와 Access 정보가 일치하지 않음을 확인

Access 접근 시간 변경, 확인

 

3. change 시간 변경

 3.1. 권한 변경을 통해 change 시간 변경

  3.1.1. # ls -l 

  3.1.2. 기존 파일의 권한 확인 644

  3.1.3. # chmod 664 test.txt

  3.1.4. 생성한 파일의 권한을 변경 664

  3.1.5. # ls -l

  3.1.6. 변경된 권한 확인 664

파일 권한 변경

 3.2. 변경된 change 확인 

  3.2.1. # stat test.txt

  3.2.2. 변경된 change 시간 확인

  3.2.3. # ls -l

  3.2.4. 파일의 속성 정보와 Change 시간이 일치하지 않음을 확인

파일 속성정보와 change 시간 불일치

728x90

 

 

4. 파일 내용 수정

 4.1. 파일내용 수정을 통한 Modify 시간 변경

  4.1.1. # cat >> test.txt

  4.1.2. cat > Redirection을 통해 기존 파일 끝으로 내용 추가

 4.2. Modify 시간과 파일 속성정보 일치 확인

  4.2.1. # stat test.txt

  4.2.2. Modify 시간과 Change 시간 변경 확인

  4.2.3. # ls -l 

  4.2.4. 파일 속성정보와 Modify & Change 시간 일치 확인

Modify&Change 시간과 파일 속성정보 일치

위의 실습을 통해서

1. # ls -l 에서 확인하는 파일 속성정보 중 시간 정보는 '마지막으로 파일을 수정한 시간임을 확인'

2. 파일의 내용을 변경하는 Modify & Change 시간 동시 변경됨을 확인할 수 있습니다.

 

다음에는 find 명령어로 시간대별 파일추적을 해 볼까 합니다.

Have a  nice day!