로그 가공 작업은 분석되지 않거나 불필요한 정보를 치워서 좀더 효율적으로 이벤트를 분석하기 위한 작업 이다. 다음과 같은 가정을 해보자.
“일반적인 네트워크 트래픽엔 공격 패킷이나, 악성코드가 없다.”
하지만 이러한 트래픽은 짚더미처럼 수 없이 많다. 짚더미에 숨어 있는 바늘 같은 공격 트래픽을 찾는 일은 결코 쉬운 일이 아니다. 불필요한 정보들을 치워 보자.
웹 로그를 이용해 짚더미를 치우는 방법을 같이 살펴보자
로그 파서를 설치하고 실행 시키면 로그를 분석하기 위해서는 로그 타입을 “ IISW3CLOG” 형식으로 지정 한다.
<짚더미 1단계 – 메소드 점검>
먼저 분석할 웹 로그에서 응답 코드 현황에 대한 통계를 추출한다.
먼저 샘플 로그를 저장하고 해당 로그 위치를 경로로 지정해 다음과 같은 쿼리 문은 로그 파서 쿼리창에 입력하고 실행 버튼()을 클릭 하면 다음 그림처럼 응답코드 통계를 추출할 수 있다.
| SELECT sc-status AS Status, COUNT(*) AS Total FROM ‘C:\(로그파일 경로 지정)\ex*.log’ GROUP BY Status ORDER BY Total DESC |
<짚더미 치우기 2단계 – 정상으로 보이는 짚더미를 치운다>
일반적으로 웹 응답과정에서 자주 발생하는(흔히 정상 범주에 해당하는) 응답코드를 제외하고 나머지 코드를 살펴 보자. 정상 범주에 대한 기준은 다음과 같이 정의 하자.
| 응답코드 | 설명 |
| 200 | 클라이언트 요청이 성공했습니다. |
| 302 | 개체 이동 |
| 304 | 수정되지 않았습니다. |
| 404 | 찾을 수 없습니다. |
4개 응답코드를 제외하고 500(에러), 401(거부), 201(파일생성), 206(일부응답)와 같이 잘 발생하지 않는 응답코드 위주로 분석을 진행 하자. 동일하게 로그 파서 쿼리 창에 다음과 같이 입력하고 실행 한다.
| SELECT sc-status AS Status, cs-method, cs-uri-stem, c-ip FROM ‘C:\(로그파일 경로 지정)\ex*.log’ WHERE (Status = 500) or (Status = 401) or (Status = 201) or (Status = 206) |
총 25개의 결과물이 검색되었다. 25개 정도면 충분히 하나씩 전수 분석이 가능한 범위다. 응답코드를 정렬해서 하나씩 살펴보자.
먼저 201 응답 코드로 응답된 URL을 보면 /test.txt, /da.txt URL에 대해 3가지 메소드(PUT, COPY, MOVE)가 사용되었다.
| Status | cs-method | cs-uri-stem | c-ip |
| 201 | PUT | /test.txt | 192.168.20.20 |
| 201 | COPY | /test.txt | 192.168.20.20 |
| 201 | PUT | /da.txt | 192.168.20.37 |
| 201 | MOVE | /da.txt | 192.168.20.37 |
<짚더미 치우기 3단계 – 공격자 상세 분석>
이제 공격자로 의심되는 IP에 대해 상세하게 분석해 보자.
다음 그림 처럼 쿼리문을 입력하고 결과를 확인해 보자.
| SELECT TO_TIMESTAMP(date,time) as Datetime, sc-status, cs-method, cs-uri-stem, c-ip FROM ‘C:\(로그파일 경로 지정)\ex*.log’ WHERE c-ip like ‘192.168.20.37’ ORDER BY Datetime |
웹 로그를 분석해 보면 192.168.20.37 IP에서 PUT메소드를 이용해 da.txt파일을 업로드 하였고, 성공적으로(201 응답코드) 웹 서버에 파일이 업로드 된것을 알 수 있다. 이후 공격자는 MOVE메소드를 이용해서 업로드한 da.txt 파일을 fuck.asp 파일로 변경하였다.
해당 파일은 IIS 환경에서 동작하는 웹 쉘 파일로 공격자는 웹쉘을 이용해 웹 서버를 장악했다.
정상 범주의 데이터를 제거한 것만으로 공격자의 공격 경로를 찾아 낸 것이다.