[Cresendo] IconCache Problem 01

#About

크레센도 그룹의 보안담당자 A씨는 퇴사자 D씨의 정보유출 여부를 분석하는 업무를 수행 중이다. 분석 도구로 D씨의 하드디스크를 검사한 결과 대부분의 데이터가 0으로 덮어 쓰기 되어 있었다. 그러나 다행히도 IconCache 파일은 온전히 복구할 수 있었다. 주어진 IconCache파일을 통해 퇴사자 D씨가 실행한 데이터 삭제 프로그램의 이름을 추출하시오

답 포맷 : 드라이브 문자를 포함한 절대 경로

Ex) G:\tool\DataDelete.exe

---

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공받은 IconCache.db 파일을 확인했으며, 위 파일은 명칭 그대로 아이콘의 캐시가 쌓이는 일종의 데이터베이스 파일이다

---

[ + ] Thumbnail

아이콘 캐시는 썸네일 캐시와 비슷한 개념으로 정보를 캐시해둔 뒤 재방문 시에 캐시된 데이터를 보여줌으로써 속도 향상을 위해 고안되었다

썸네일 캐시는 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것이며 윈도우 폴더 미리보기 기능에 사용한다

또한 한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않는 특징을 가지고 있으며, 썸네일을 확인해 보았다

[그림 2] - ThumbCache 정보 확인

저장된 썸네일 캐시에서, [그림 1]의 사진을 사용하기 위해 저장해두었던 파일이 자동으로 캐시되어 있음을 확인할 수 있었으며 지웠던 개인적인 

사진이 캐싱되어 썸네일로 저장되있음도 확인했고, 이를 통해 썸네일 캐시는 포렌식에 충분히 이용될 수 있음을 생각할 수 있다

썸네일을 지원하는 확장자는 JPEG, BMP, PNG, GIF, TIF, PDF, PDF, PPTX, DOCX 등이 존재하며 썸네일은 파일 미리보기 시에 자동으로 캐시되기에 

이미지, 동영상, 문서 파일과 같은 특정 파일의 존재 유무를 판단할 수 있으며 문서 파일의 경우 첫 페이지가 캐시되기에

문서의 내용을 확인 가능하며, 음란물이 담긴 동영상일 경우 열람 시 역시 캐시되어 아청법 조사에 활용이 가능하다 

썸네일 캐시가 저장되는 데이터베이스 파일의 위치는 아래와 같다

[그림 3] - 썸네일 저장 경로

[ + ] IconCache

아이콘 캐시는 썸네일 캐시와 비슷한 기능을 하며 폴더 내용 확인 시 로드되는 아이콘이 캐시된다 따라서 아이콘 캐시는 아래와 같이 활용될 수 있다

외부저장매체 사용 흔적 확인

로컬 시스템에 USB와 같은 외부저장매체를 연결 한 뒤 탐석기를 통해 외부저장매체를 확인하면 외부저장매체에 위치한 아이콘이 로컬에 캐시된다 다만 이는 외부저장매체에 고유한 아이콘 리소스가 포함된 실행파일이 존재할 때 유효하며, 유일한 아이콘이 아닐 시 외부저장매체를 특정하기 어렵기 때문이다

안티 포렌식 도구 사용 흔적 확인

전문적인 안티 포렌식 도구는 대부분 고유한 아이콘을 가졌기 때문에 로컬 또는 외부저장매체에서 안티 포렌식 도구를 사용했다면 해당 안티 포렌식 프로그램의 아이콘이 캐시된다

악성코드 흔적 확인

악성코드에 아이콘 리소스가 있다면 캐시되므로 아이콘 캐시 분석을 통해 악성코드의 경로를 확인할 수 있지만 애드웨어류를 제외한 나머지는 아이콘 리소스를 잘 포함하지 않으므로 기대지수가 낮은게 일반적이다

프로그램 사용 흔적 확인

고유한 아이콘을 가진 프로그램이라면 아이콘 캐시의 분석을 통해 설치 또는 실행 흔적을 알 수 있다

출처 = forensic-proof.com

---

문제로 돌아와 해당 IconCahe.db에 담긴 정보를 Hex Editor를 통해 확인할 수 있었으며 IconCache의 구조는 아래의 링크를 참조하길 바란다

https://brunch.co.kr/@bl4cksh33p/4

[그림 4] - diskwipe.exe 확인

Answer = f:\mytools\diskwipe.exe