MacBook Air에서 로그기록 분석

여러계정에서 해킹에 시달리면서 시스템 로그를 분석의뢰 하였더니 아래와 같은 내용이 나왔습니다.

로그 기록은 첨부한 파일과 같습니다 .도움 부탁드립니다

이 시스템 로그에서 관찰된 문제점을 정리하면 다음과 같습니다:

1. sudo 명령어의 반복적인 호출

• 로그에서 sudo 명령어가 자주 호출되며, 각 호출에서 그룹 열거 작업이 여러 번 이루어졌습니다. suo는 시스템에서 관리자 권한을 요구하는 명령이므로, 이 명령어가 비정상적으로 자주 사용되었다면, 외부에서 무단으로 관리자 권한을 사용하여 작업을 시도했을 가능성이 있습니다.

2. getgrouplist 호출 빈번

• getgrouplist 함수는 사용자의 그룹 리스트를 반환하는 함수로, 이 함수의 호출이 sudo 명령과 함께 빈번하게 발생하고 있습니다. 그룹 정보 열람 작업이 반복적으로 수행된 점은, 시스템 보안 측면에서 의심스러운 행동일 수 있습니다.

3. AddressBook 관련 이벤트 다수 발생

• AddressBook 관련 계정 이벤트가 자주 기록되고 있으며, 카드다브(CARDAV) 계정이 활성화된 상태에서 여러 이벤트가 발생하고 있습니다. 이 계정 정보가 외부로 유출되거나 비정상적으로 사용되고 있지 않은지 확인이 필요합니다.

4. 패키지 설치 관련 평가 메시지

• syspolicyd에서 여러 번의 패키지 설치 관련 권한 검사가 수행된 로그가 확인되었습니다. 이는 특정 패키지가 시스템에 설치되었을 때 해당 패키지가 안전한지 평가한 결과로 보이며, 이 중에는 Veraport와 MagicLine4NX 같은 특정 소프트웨어가 포함되어 있습니다. 이 패키지가 신뢰할 수 있는 소프트웨어인지 확인이 필요합니다.

5. 반복적인 시스템 그룹 열거

• getgrouplist 및 getgrouplist_2 호출이 여러 번 반복되고 있으며, 이는 사용자의 그룹 정보에 대한 접근 및 열람이 빈번하게 이루어지고 있다는 것을 나타냅니다. 이와 같은 접근이 정상적인지 또는 외부로부터의 침입 시도로 해석될 수 있는지 추가 분석이 필요합니다.

6. 타임스탬프 불일치 가능성

• 로그 상의 일부 시간 기록이 사용자의 실제 활동 시간과 일치하지 않을 수 있습니다. 이는 시스템 시간의 설정 문제일 가능성이 있으며, 타임스탬프가 외부 공격자의 흔적일 수도 있습니다. 이 부분은 시스템 시간 동기화 여부를 확인하여 점검하는 것이 필요합니다.

결론

이 시스템 로그에서는 관리자 권한을 요구하는 sudo 명령이 빈번하게 호출되었으며, 그룹 열람 작업이 반복적으로 발생하고 있습니다. 또한 여러 AddressBook 관련 계정 이벤트와 패키지 설치 평가가 다수 기록되었습니다. 이러한 활동이 정상적인 범주 내에 있는지 확인하는 것이 중요하며, 특히 외부로부터의 무단 접근 가능성을 염두에 두고 추가적인 보안 조치와 조사가 필요합니다.

[관리자에 의해 제목이 수정 되었습니다.]