Test

#About

주어진 바로 가기 파일들 중 가리키는 대상이 이동식 디스크(Removable Disk)에 저장된 원본 파일의 이름을 알아내시오. 

단, 파일명은 'EUC_KR' 인코딩을 사용한다.

(확장자 및 띄어쓰기 포함, 소문자로 작성)

#Solution

[그림 1] - 문제 파일 확인

문제 파일을 확인하면 10개의 링크 파일을 확인할 수 있고, 문제에서 요구하는 것은 이동식 디스크에 저장된 원본 파일 이름을 구하는 것이다

링크 파일은 포렌식에 있어 중요한 정보가 많이 담기는 아티팩트에 해당되며, 링크 파일에서 추출가능한 정보는 아래와 같다

1. Volume ID

링크 대상이 위치한 볼륨의 식별자

2. DriveType

링크 대상이 위치한 드라이브 형식

3. DriveSerialNumber

링크 대상이 위치한 드라이브의 시리얼 번호

4. MAC Address

링크 대상이 위치한 PC의 네트워크 인터페이스에 할당된 고유 식별자

5. User Account

링크 대상이 위치한 PC의 사용자 계정

6. LocalBasePath

링크 대상 경로

7. Lnk File Creation, Access, Write Time

링크 대상의 생성, 접근, 쓰기 시간

8. Target File Creation, Access, Write Time

원본 파일의 생성, 접근, 쓰기 시간

문제를 풀기 위해 단순히 링크 파일에 담긴 정보를 추출한 결과를 보여주는 도구를 사용해도 되지만, 도구를 사용한다면 사용에 앞서 

해당 도구에서 어떻게 정보를 추출하고 어떻게 만들어진 것인지에 대한 기본이 되는 링크 파일의 구조를 알아야 한다

하지만 단순 문제 풀이 포스팅에 담기엔 복잡한 링크 파일의 구조를 아래의 MS 공식 문서를 참조하길 바란다

[MS-SHLLINK].pdf

https://msdn.microsoft.com/en-us/library/dd871305.aspx

문제를 해결하기 위해 링크 파일의 구조 분석 도구인 LNK Parser를 이용했으며 도구의 출처는 아래와 같다

http://forensic.korea.ac.kr/tools/lnkparser.html

[그림 2] - LNK Parser

위 도구를 통해 8.lnk 파일의 DriveType이 문제에서 가리키는 DRIVE REMOVABLE임과, 원본 파일 이름인 섹터 연락망.hwp 임을 확인할 수 있었다

또한 LNK Parser가 아닌 010 Editor을 통해 아래와 같이 파싱된 링크 파일에서 DriveType을 확인할 수 있었으며 

010 Editor를 이용한 파일의 구조 분석은 각 파일이 가지는 확장자에 맞는 Template을 다운로드 후에 사용가능 하다

https://www.sweetscape.com/

[그림 3] - 010 Editor를 이용한 구조 분석

파싱된 DriveType은 위 그림에서 볼 수 있듯 오프셋 0x015~0x018의 값인 0x00000002라는 값을 가지며 각 값이 의미하는 바는 아래를 참조하길 바란다

[+] DriveType

[그림 4] - DriveType

#About

크레센도 그룹의 보안담당자 A 씨는 내부 정기 감사를 통해 한 직원의 컴퓨터에서 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견하였다. 현재 추가 분석을 위해 해당 직원 컴퓨터에서 확보한 이벤트 로그 파일 5개를 전달받은 상태이다. 주어진 파일에서 다음과 같은 정보를 확보하시오:

1. 설치된 "비인가 프로그램"의 실행파일 이름

2. 1번 프로그램의 설치 완료 시점

3. 1번 프로그램이 방화벽 예외에 등록된 시점

2,3번 문항 시점은

YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임

답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: PPAP_2015-01-28 11:16:33_2015-01-28 17:33:22

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공하는 받은 이벤트 로그 파일은 총 5개이며, 첫 번째 문제에서 요구하는 것은"비 인가 프로그램"의 실행파일 

이름을 찾는 것이므로 응용 프로그램과 관련 이벤트 로그가 저장되는 Application.evtx를 실행했다

[그림 2] - Application.evtx 실행

윈도우 인스톨러에 의해 설치되는 응용 프로그램의 이벤트 ID는 1033이고 별도의 작업 범주가 없으며 원본의 MsiInstall에서 설치 정보를 확인할 수 있다

[그림 3] - 클라우드 공유 관련 프로그램 설치 확인

로깅 시간이 2016-10-13 오후 12:25:36인 레코드에서 클라우드 서비스를 제공하는 Dropbox의 설치를 확인함으로써 

1,2번 문제에서 요구하는 비인가 프로그램의 이름과 설치 시각 완료 시점을 알 수 있었으며, 마지막으로 Dropbox가 방화벽 예외에 등록된 

시점을 알기 위해 윈도우 방화벽 관련 로그인 Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx 파일을 열었다

[그림 4] - 방화벽 예외 목록 규칙 추가 이벤트 ID 확인

마지막 문제인 방화벽 예외에 등록된 시점을 찾기 위해 해당 이벤트 ID를 찾다가 위 [그림 4]에서 확인할 수 있듯 2004임을 알 수 있었고

이벤트 ID가 2004인 로그를 필터링한 결과는 아래와 같으며, 필터링 된 첫 번째 레코드의 로그에서 바로 확인할 수 있었다

[그림 5] - 방화벽 예외에 등록된 시점 확인

요약하면, 2016-10-13 오후 12:25:36에 인가되지 않은 프로그램인 Dropbox이 설치되었으며 방화벽 예외 규칙에 등록된 시간은

2016-10-13 오후 12:30:00으로 Dropbox 설치 후 04분 24초가 지난 시점에 방화벽 예외 규칙에 추가되었다

Answer = Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00

#About

크레센도 그룹의 보안담당자 A 씨는 최근 퇴사자의 PC를 분석하던 중, 보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다. 해당 흔적에 대한 추가 분석을 수행하시오.

1. 첫 번째 원격 로그인 성립 시점

2. 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름

3. 원격으로 접속한 비 인가 부서의 IP 주소

1번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임

답 포맷: [1번 답]_[2번 답]_[3번 답]

Ex: 2015-01-28 11:16:33_CRE_10.0.0.123

#Solution

[그림 1] - 문제 파일 확인

위 그림은 문제에서 제공한 이벤트 로그 파일을 실행한 화면이며 이벤트 수는 675개임을 확인할 수 있다

많은 양의 이벤트 로그를 모두 확인하기에는 시간이 많이 걸리며 효율성 있는 로그 확인을 위해 필터링 과정을 거쳐야한다

문제에서 요구하는 것은 접근이 허용되지 않은 부서의 IP에서 사용한 원격 로그인의 성립 시점을 찾는 것이다

따라서 원격 로그인의 관련한 이벤트 ID를 알아야 하며 원격 로그인의 상위 작업범주는 로그온이다

[그림 2] - 원격 로그온 관련 이벤트 필터링

위 [그림 2]는 로그온 관련 이벤트 ID인 4624을 기준으로 필터링한 결과이며, 이벤트 ID 4624는 로그온 유형이라는 것이 존재한다

[그림 3] - 로그온 유형

https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx

위 [그림 3]은 로그온 유형에 관한 자료이며 유심히 보아야 할 것은, 원격과 관련한 로그온 타입 10의 레코드이다

로그온 타입 10의 레코드의 내용은 사용자가 터미널 서비스 또는 원격 데스크 톱을 사용하여 이 컴퓨터에 로그온했다는 내용이며

이를 기반으로 [그림 2]의 이벤트 로그를 찾으면 아래와 같이 확인할 수 있다

[그림 4] - 로그온 유형 10 확인

문제 1에서 요구한 사항이 첫 번째 원격 로그온 시점이므로 가장 오래 된 시간순으로 정렬 후 확인 결과 2016-10-14 오전 7:02:10에 로그온 유형 10으로 

원격 로그온 되었음을 확인할 수 있었으며 문제 2와 문제 3에서 요구하는 정보들은 해당 로그의 상세 정보를 통해 아래와 같이 확인할 수 있었다

[그림 5] - 원격 로그온 로그 상세 확인

원격 로그온 시간 = 2016년 10월 14일 오전 7시 02분 10초

계정 이름 = DEVJDOE

원본 네트워크 주소 = 192.168.16.11

Answer = 2016-10-14 07:02:10_DEVJDOE_192.168.16.11