윈도우즈 Sysmon(System Monitor) 설명과, 설치법, 사용법

 

윈도우즈 Sysmon(System Monitor)

Sysmon이란?

Sysmon은 Microsoft Sysinternals에서 제공하는 윈도우 시스템 서비스 및 장치 드라이버로, 시스템에 설치되면 재부팅 후에도 상주하여 시스템 활동을 모니터링하고 Windows 이벤트 로그에 기록합니다. Sysmon은 보안 모니터링 목적으로 사용되며, 프로세스 생성, 네트워크 연결, 파일 생성 시간 변경 등에 대한 자세한 정보를 제공합니다.

Sysmon의 주요 특징:

• 프로세스 생성에 대한 상세 로깅(전체 명령줄 포함)
• 파일 해시값(SHA1, MD5, SHA256, IMPHASH) 기록
• 네트워크 연결 모니터링
• 레지스트리 변경 추적
• 파일 생성 및 삭제 감시
• 드라이버 로드 기록
• DNS 쿼리 모니터링
• 악성 행위 탐지에 유용한 다양한 이벤트 수집

Microsoft 공식 문서

Sysmon 설치 방법

1. 다운로드

먼저 Microsoft Sysinternals 사이트에서 Sysmon을 다운로드합니다:

• Sysmon 다운로드

2. 기본 설치 방법

1. 관리자 권한으로 명령 프롬프트(CMD)를 실행합니다.
2. Sysmon 압축 파일을 풀고 해당 디렉토리로 이동합니다.
3. 다음 명령어로 기본 설정으로 설치합니다:

sysmon -accepteula -i

또는 64비트 시스템에서는:

sysmon64 -accepteula -i

3. 설정 파일을 사용한 설치 방법

더 효과적인 모니터링을 위해 사전 구성된 설정 파일을 사용하는 것이 좋습니다. 많은 보안 전문가들이 SwiftOnSecurity의 Sysmon 설정 파일을 권장합니다:

1. PowerShell에서 다음 명령어를 실행하여 Sysmon과 설정 파일을 다운로드합니다:

iwr https://download.sysinternals.com/files/Sysmon.zip -outfile sysmon.zip
expand-archive sysmon.zip
iwr https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml -outfile sysmonconfig-export.xml

2. 설정 파일을 적용하여 Sysmon을 설치합니다:

sysmon64.exe -accepteula -i sysmonconfig-export.xml

Sysmon 사용법

주요 명령어 옵션

• -i: 서비스 및 드라이버 설치 (설정 파일 지정 가능)
• -c: 현재 설정 확인 또는 업데이트
• -m: 이벤트 매니페스트 설치
• -s: 구성 스키마 정의 출력
• -u: 서비스 및 드라이버 제거

자주 사용하는 명령어 예시

1. 네트워크 연결과 로딩된 모듈 모니터링 설정:

sysmon64.exe -i -l -n -accepteula

2. 설정 파일 적용:

sysmon64.exe -c sysmonconfig-export.xml

3. 현재 설정 확인:

sysmon64.exe -c

4. Sysmon 제거:

sysmon64.exe -u

Sysmon 이벤트 확인 및 사용법

이벤트 로그 위치

Sysmon 이벤트는 Windows 이벤트 뷰어에서 확인할 수 있습니다:

1. Win+R 키를 눌러 실행 창을 열고 eventvwr.exe를 입력합니다.
2. 이벤트 뷰어에서 응용 프로그램 및 서비스 로그 > Microsoft > Windows > Sysmon > Operational로 이동합니다.

주요 이벤트 ID와 의미

Sysmon은 다양한 이벤트 ID를 사용하여 시스템 활동을 로깅합니다:

이벤트 ID	설명	용도
1	프로세스 생성	새로 생성된 프로세스 정보 기록
2	파일 생성 시간 변경	프로세스가 파일 생성 시간을 수정할 때 기록
3	네트워크 연결	TCP/UDP 네트워크 연결 정보 기록
4	Sysmon 서비스 상태 변경	Sysmon 서비스 시작/중지 정보
5	프로세스 종료	프로세스 종료 정보
6	드라이버 로드	시스템에 로드되는 드라이버 정보
7	이미지 로드	모듈이 프로세스에 로드될 때 기록
8	CreateRemoteThread	다른 프로세스에 스레드 생성 감지
11	파일 생성	파일 생성 및 덮어쓰기 기록
12-14	레지스트리 이벤트	레지스트리 생성, 삭제, 값 설정, 이름 변경 등
22	DNS 쿼리	DNS 쿼리 정보 기록
23	파일 삭제	파일 삭제 기록

설정 파일 사용하기

설정 파일 구조

Sysmon 설정 파일은 XML 형식으로 작성되며, 다음과 같은 주요 섹션이 있습니다:

1. HashAlgorithms: 사용할 해시 알고리즘 지정
2. EventFiltering: 기록할 이벤트와 필터링 규칙 설정

설정 파일 예시

<Sysmon schemaversion="4.82">
  <!-- 모든 해시 캡처 -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Microsoft나 Windows 서명이 있는 경우를 제외한 모든 드라이버 로그 기록 -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- 프로세스 종료는 기록하지 않음 -->
    <ProcessTerminate onmatch="include" />
    <!-- 포트 443이나 80으로의 네트워크 연결을 기록 (Internet Explorer 제외) -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

필터링 조건

설정 파일에서 사용할 수 있는 필터링 조건:

• is: 기본값, 정확히 일치
• contains: 값이 포함됨
• excludes: 값이 포함되지 않음
• begin with: 값으로 시작
• end with: 값으로 끝남
• less than: 사전식 비교가 작음
• more than: 사전식 비교가 큼
• image: 이미지 경로 일치

실전 활용 사례

1. 보안 모니터링: 악성 프로세스 실행, 비정상적인 네트워크 연결 등 의심스러운 활동 감지
2. 사고 대응: 침해 사고 분석 시 시스템 활동 로그 제공
3. 포렌식 분석: 시스템 변경 사항에 대한 상세 내역 확인
4. 보안 정책 준수 확인: 시스템 활동 감사 및 모니터링

참고 자료

• Microsoft 공식 Sysmon 문서
• SwiftOnSecurity의 Sysmon 설정 파일
• 레드팀 플레이북 - 시스몬 설치

Sysmon은 윈도우 시스템의 보안 모니터링을 위한 강력한 도구로, 적절한 설정을 통해 시스템 활동을 효과적으로 추적하고 분석할 수 있습니다. 침해 사고 탐지와 대응에 매우 유용하게 활용될 수 있습니다.

 

LG U+ 테더링 데이터 소진 시 우회 방법

LG U+를 포함한 국내 통신사들은 무제한 요금제를 사용하더라도 테더링(핫스팟)에 사용할 수 있는 데이터를 별도로 제한하고 있습니다. 이러한 제한을 우회하기 위한 방법들을 알아보겠습니다.

우회 원리 이해하기

LG U+는 스마트폰에서 직접 네트워크를 사용할 때와 핫스팟을 통해 네트워크를 공유할 때 서로 다른 APN(Access Point Name) 설정을 사용합니다. 핫스팟을 사용할 때 "LG U+ Tethering"이라는 별도의 APN을 통해 연결되어 테더링 데이터가 소진됩니다. 이 설정을 변경하여 일반 APN을 사용하도록 하면 테더링 제한을 우회할 수 있습니다.

방법 1: 일반 설정을 통한 APN 추가 (간편한 방법)

이 방법은 대부분의 안드로이드 스마트폰(갤럭시 등)에서 가능합니다:

1. 설정 앱을 엽니다

2. 연결 > 모바일 네트워크 > 액세스 포인트 이름 메뉴로 이동합니다

3. 오른쪽 상단의 +(추가) 버튼을 클릭합니다

4. 다음 정보를 입력합니다:

   • 이름: 원하는 이름 (예: "LG U+ 무제한")
   • APN: internet.lguplus.co.kr
   • MCC: 450
   • MNC: 06
   • APN 유형: default,supl,dun (중요: 띄어쓰기 없이 정확히 입력)
   • APN 프로토콜: IPv4/IPv6
   • APN 로밍 프로토콜: IPv4/IPv6

5. 오른쪽 상단의 저장 버튼을 누릅니다

6. 새로 추가된 APN을 선택하고 설정 앱을 종료합니다

7. 핸드폰을 재부팅하여 설정을 적용합니다

방법 2: 히든 메뉴를 통한 APN 수정 (LG U+ 기기에서 일반 설정이 제한된 경우)

일부 LG U+ 통신사 자체 단말기는 일반 설정에서 APN 수정이 제한될 수 있습니다. 이 경우 히든 메뉴를 통해 접근할 수 있습니다:

1. 기본 전화 앱을 실행합니다
2. 키패드에 319712358을 입력합니다 (전화를 걸지 않아도 자동으로 메뉴가 나타납니다)
3. 경고창이 뜨면 OK를 누릅니다
4. 비밀번호 입력 화면에서 0821을 입력합니다 (LG U+ 비밀번호)
5. Data Setting 메뉴를 선택합니다
6. APN을 선택합니다
7. 제일 위에 있는 **LG U+**를 선택합니다
8. 맨 아래로 내려가서 APN 유형을 찾습니다
9. 원래 값이 "default,supl"인데, 여기에 "dun"을 추가하여 default,supl,dun으로 변경합니다
10. 저장을 위해 뒤로가기를 누르지 말고 홈 버튼을 눌러 앱 밖으로 나갑니다
11. 다시 히든 메뉴로 들어가 U+ Tethering을 선택합니다
12. APN 유형에서 "dun"을 제거하거나 다른 값으로 변경합니다
13. 다시 홈 버튼을 눌러 나가고 핸드폰을 재부팅합니다

주의사항

1. 통신사별로 비밀번호가 다릅니다:

   • LG U+: 0821
   • SK: 996412
   • KT: 774632

2. APN 유형에 "default,supl,dun"을 입력할 때 띄어쓰기를 하지 않도록 주의하세요. 정확히 이 형식으로 입력해야 우회가 제대로 작동합니다.

3. 설정 변경 후 핸드폰을 재부팅하여 변경사항이 제대로 적용되도록 하세요.

4. 이 방법은 테더링 데이터 대신 일반 데이터를 사용하도록 하는 것으로, 무제한 요금제에서 속도 제한은 여전히 적용될 수 있습니다.

우회 확인 방법

설정이 제대로 적용되었는지 확인하려면 테더링을 활성화한 후 데이터 사용량을 확인해보세요. 테더링을 사용했음에도 테더링 데이터 소진량이 증가하지 않는다면 우회가 성공적으로 이루어진 것입니다.

법적 고려사항

이러한 설정 변경은, 통신사와의 약관 위반에 해당할 수 있지만, 현재까지 이에 대한 법적 조치가 취해진 사례는 거의 없습니다. 특히 무약정 요금제의 경우 위약금에 대한 부담이 적기 때문에 더 자유롭게 사용할 수 있습니다. 다만, 과도한 데이터 사용은 통신사의 모니터링 대상이 될 수 있으니 상식적인 범위 내에서 사용하는 것이 좋습니다.

이 방법들을 통해 LG U+에서 테더링 데이터가 소진된 후에도 계속해서 테더링 기능을 사용할 수 있습니다.