Test

[ * ] 문제 확인

A회사 보안팀은 내부직원 PC 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부 문서의 정보를 찾아 정답을 입력하시오.

Correct Answer ex)

Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)

2013-03-01 21:00:00_2013-04-03 10:00:50_sample.docx_100MB

[ * ] 해결 방향

주어진 지문에서 내부문서를 외부로 업로드한 흔적을 발견했음과 추가적으로 스마트폰도 임의 제출을 받은 것을 통해, 업로드 서비스를 제공해주는 클라우드와 스마트폰과 관련된 아티팩트임을 추측 가능

[ * ] 해결 과정

문제에서 주어진 이미지 파일 분석을 위해 Forensic Tool Kit (이하 FTK)로 열었을 때, NTFS 파일 시스템과 관련한 파일과 함께 10개의 폴더가 주어져 있다

각각의 폴더에는 아래와 같은 앱이 있으며 그 중 8개의 폴더에 plist라는 파일이 존재 했다

1 .Weather.app

2. CGV2.app

3. CNN-iPhone.app

4. Podcasts.app

5. Dropbox.app

6. WebViewSercvice.app

7. HousekeepingLog.app

8. MyPainting.app

9. HarooNotes.app

10. dayalbumlite.app

확장자 plist를 가지는 파일이 하는 역할이 무엇일까 하는 궁금증에 검색을 했고 아래와 같은 정보를 얻을 수 있었으며, 시그니쳐는 "62 70 6C 69 73 74"이며 아스키 값으로는 "bplist"임을 알 수 있었고 앱 목록과 plist의 정의를 통해 해당 스마트폰은 아이폰임을 알 수 있었다

각각의 폴더에서 발견했던 앱 리스트들 중, 내부문서의 외부 업로드와 관련된 Dropbox.app이 눈에 띄었으며 해당 폴더의 내부에는 아래와 같은 폴더 목록을 볼 수 있다.

Library/Caches/Snapshots/com.getdropbox.Dropbox/의 경로에서 아래와 같은 스냅샷이 찍힌 파일을 확인할 수 있었으며 "S-Companysecurity.pdf"라는 파일명으로 미루어 보아 해당 시나리오에서 유출된 기밀문서임을 짐작할 수 있다

스냅샷을 통해 기밀문서로 짐작가는 파일을 확인할 수 있었으며 나아가 주어진 지문에서 요구하는 업로드 시간, 수정 시간, 파일 사이즈를 알아내기 위해 해당 앱의 폴더를 탐색 중, Library/Caches/ 경로의 "cache.db"라는 파일을 확인할 수 있었으며, 해당 파일은 Dropbox 앱이 동기화 할 때, 동기화 된 정보가 남는 파일임을 알고, 해당 파일을 추출함

데이터베이스 파일에는 data_cache, local_files_cache라는 두 테이블이 존재 했으며, 그 중 data_cache 테이블에서는 아래와 같은 레코드를 볼 수 있었다

해당 레코드 중, 이전 스냅샷에서 봤고 기밀문서를 가지고 있던 tim_folder를 분석하기로 했고, 해당 레코드가 가지고 있던 Base64 Data를 tim_folder.plist 파일로 저장함

plist viewer로 확인 결과 data 태그 내에 Base64로 인코딩된 문자를 볼 수 있었다

Base64로 인코딩된 문자를 복호화 시키기 위해 파이썬을 이용해야 하나 싶었지만, 위 사진의 List View 탭에서 아래와 같이 확인할 수 있었다

첫 번째 NS.time은 Dropbox 앱 내 폴더 중 Document 폴더에 있던 Dropbox.sqlite 파일을 분석하던 도중, 테이블 ZCACHEDFILE에서 데이터들을 확인할 수 있었다. 해당 테이블은 업로드할 때 생성된 캐시가 모인 데이터를 가지므로 ZMODIFIEDDATE는 업로드 시간이 되며, 두 번째 NS.time은 업로드 시간보다 이전이므로 수정시간임을 추측가능

▼ 업로드 시간

▼수정 시간

KEY = 2012-12-27 17:55:54_2012-05-01 17:46:38_S-companysecurity.pdf_2.1MB

Referfence

https://ko.wikipedia.org/wiki/프로퍼티_리스트

http://forensicinsight.org/wp-content/uploads/2013/03/F-INSIGHT-CodeGate-2013-Write-ups.pdf