Test

#About

먼저 소개할 시나리오는 NIST에서 제공해주는 데이터 유출 케이스로, 분석에 있어 스킬업(?)을 할 수 있는 좋은 예제이며 

시나리오를 제공하는 링크는 글의 맨 아래에 첨부했으며 제공되는 유출케이스의 종류는 다음과 같다.

[그림 1] - NIST에서 제공해주는 시나리오의 파일 시스템 종류

모든 이미지 파일을 통틀어  60개의 문제로 이루어져 있는데 다 풀 수 있을지는 나도 의문이지만 일단 시작하고 본다.

#Solution

1. What are the hash values (MD5 & SHA-1) of all images?

Does the acquisition and verification hash value match?

먼저 제공되는(획득한) image 파일의 MD5 및 SHA-1 해쉬 값이 verification 해쉬 값과 같은지에 대해 확인하기 위해 아래와 같이 제공 받은 이미지를 마운트 했다.

[그림 2] - 이미지 파일 마운트

늘 사용하던 FTK Imager로 마운트 해도 되겠지만 Arsenal Image Mounter가 마운트를 하기에 좋은 프로그램이라 하여 한 번 사용 해보았고(개꿀 앞으로도 쓸거임)

1번 질의를 답을 하기 위해 아래와 같이 FTK Imager의 Verify Drive/Image 기능을 이용했다.

[그림 3] - 해쉬값 검증을 위한 기능 사용

[그림 4] - 검증 작업 과정

지루한 프로그레스 바를 기다리면 아래와 같은 결과를 확인할 수 있고 이는 1번 문제에서 요구하는 사항이다.

[그림 5] - 검증 해쉬 값 확인

MD5 : a49d1254c873808c58e6f1bcd60b5bde

SHA-1 : afe5c9ab487bd47a8a9856b1371c2384d44fd785

2. Identify the partition information of PC image.

[그림 6] - 파티션 정보 확인

제공받은 이미지에서 사용중인 파일시스템은 NTFS로 총 섹터 수는 41,943,040으로,

41,943,040 * 512 / 1024 / 1024 / 1024 라는 계산을 거치면 20GB임 또한 확인할 수 있다.

3. Explain installed OS information in detail.

   (OS name, install date, registered owner...)

문제에서 요구하는 OS information을 확인하기 위해 레지스트리를 확인하기로 했고,

OS information과 관련한 레지스트리는 SOFTWARE라는 하이브 파일이므로 해당 파일을 아래와 같이 추출해주었다.

[그림 7] - OS INFO 관련 하이브 파일 추출

사용하는 도구가 자꾸 바뀌거나 일관성이 없는 것은 현재 케이스를 분석해보는 동시에 다양한 도구를 써보면서 비교 분석하기 위함이다.

OS관련 정보는 [HKLM/Software/Microsoft/Windows NT/CurrentVersion]에 저장되어 있으며 분석 결과 아래와 같이 OS 정보를 확인할 수 있었다.

[그림 8] - OS INFO 확인

4. What is timezone setting?

타임존 또한 레지스트리 분석으로 확인할 수 있으며 시간은 시스템 설정에 따라 변경될 수 있으므로, 아래와 같이 SYSTEM 파일을 추출해주었다.

[그림 9] - SYSTEM 하이브 파일 추출

추출 된 SYSTEM 파일을 다시 OS INFO 분석때와 같이 Registry Explorer를 통해 로드 해주었고, Timezone이 위치하는 경로는

HKLM/SYSTEM/ControlSetxxx/Control/TimezoneInformation 으로, 해당 경로로 가서 확인해본 결과 아래와 같이 타임존 정보를 확인할 수 있었다

[그림 10] - Timezone 정보 확인

확인 결과, Eastern Standard Time으로 동부 표준시(UTC -05:00)을 사용하는 것을 알 수 있다.

5. What is Computer name?

컴퓨터 이름 또한 레지스트리에서 바로 확인이 가능 하며 경로는 아래 사진에서 확인할 수 있다.

[그림 11] - 컴퓨터 이름 확인

확인 결과, 컴퓨터 이름은 INFORMANT-PC이며, 위의 경로가 아닌 다음의 경로에서도 확인할 수 있다.

[그림 12] - 다른 경로에서의 컴퓨터 이름 확인

이 처럼 같은 정보 또는 유사한 정보가 다른 경로에 존재할 수 있기에, 가능한 하나라도 놓치지 않고 분석하는 꼼꼼함이 요구 된다.

6. List all accounts in OS except the system accounts: Administrator, Guest, systemprofile,

   LocalService, NetworkService. (Account name, login count, last logon date...)

[그림 13] - 계정 정보 확인

시스템 계정을 제외한 OS에서 존재하는 계정은 admin11, informant, temporary로 총 3개가 존재하고

Default라는 계정의 역할은 새 계정을 생성할 때 해당 폴더에 있는 내용을 복사한 것을 바탕으로 새 계정이 생기며 

가령, Default 계정에 악성코드가 담긴 프로그램 파일을 담아둔 뒤, 계정을 생성하면 새로 생긴 계정에도 같은 프로그램이 담겨 있다.

또한 단순히 디스크에서 열어보는 것이 아닌 아래와 같이 레지스트리에서도 확인할 수 있다.

[그림 14] - 레지스트리 정보를 통한 계정 정보 확인

여기서 이상한 점은 단순히 디스크를 열어서 유저 디렉터리를 확인했을 때에는 없던, "ITechTeam"라는 계정을 레지스트리에서 확인할 수 있다는 점에서, 

앞서 말했듯 가능한 하나라도 놓치지 않고 분석하는 꼼꼼함이 더욱 요구 됨을 느낄 수 있다.

문제에서 요구하는 로그인 횟수와, 마지막 로그인 시간을 확인하기 위한 방법으로는 윈도우 이벤트를 일일이 분석해도 괜찮겠지만

이 또한 레지스트리에서 확인할 수 있으며 경로와 값은 아래를 참조하자.

[그림 15] - 사용자 계정의 상세 정보 확인

해당 Users 키에서 문제에서 요구하는 사용작 계정 이름, 로그인 횟수, 마지막 로그인 시간을 모두 확인할 수 있었으며

또한 비밀번호 힌트와 같은 정보가 어디다 저장되나 싶었는데 여기에 저장되어 있음을 알 수 있었고, 

앞으로 사용자 계정 분석시에는 해당 키를 제일 먼저 참조하는게 좋을 것 같다.

+ 그냥 혹하는 마음에 교차검증을 해보고자 마음먹고 REGA로 분석을 진행하려 했지만 아래에선 [그림 15]와 같이 사용자 계정 정보를 확인할 수 없었다.

[그림 16] - REGA로 열어본 SAM 파일

이를 통해 하나의 도구만으로는 원하는 데이터를 제대로 찾는 것이 되지 않을 수 있다는 것을 알게 되었고, 

하나의 도구에서 나와야할 데이터가 나오지 않는다면 다른 도구를 사용해보자.

(내가 REGA를 제대로 사용하지 못한 것 일 수도 있음)

7. Who was the last user to login into PC?

앞서 [그림 15]에서 확인할 수 있듯, 2015-03-25 14:45:59에 informant라는 계정이 로그인 함을 확인할 수 있지만,

해당 도구는 UTC 00:00을 기준으로 보여주기에 동부 표준시인 UTC -05:00을 적용하면, 2015-03-25 09:45:59에 마지막으로 로그인 했다는 사실을 알 수 있다.

8. When was the last recorded shutdown date/time?

[그림 17] - Shutdown Time 확인

이쯤되면 레지스트리는 상당히 (개오지게) 중요한 것을 알 수 있다. 별의 별 내용이 다나오는 느낌이다.

아무튼 해당 값을 분석하기 위해 TimeLord라는 도구를 사용했으며 결과 값은 아래와 같다.

[그림 18] - 추출 된 레지스트리 값으로 부터의 데이터 변환

9. Explain the information of network interface(s) wtih an IP address assigned by DHCP.

이또한 레지스트리에서 확인할 수 있으며 경로는 다음과 같다.

HKLM/SYSTEM/ControlSet001/Services/Tcpip/Parameters/Interfaces\{GUID}

[그림 19] - 네트워크 인터페이스에 할당 된 IP 정보 확인

자세히 보면 Interfaces 키에 하위로 두개의 GUID가 있음을 확인할 수 있었고, 846ee~로 시작하는 인터페이스에는 정보가 담겨있지 않았고 

제공된 이미지 레지스트리가 아닌 현재 분석하고 있는 컴퓨터의 레지스트리를 살펴보니, 

가장 최근에 네트워크에 연결한 정보가 제일 밑에 위치한다는 사실(구라일 수도 있음)을 알 수 있었다.

10. What applications were installed by the suspect after installing OS?

22. List external storage devices attached to PC.

외부 저장 장치와의 연결 흔적은 레지스트리에 많은 영역에 남게되며 자세한 사항은 아래의 블로그를 참조하자

http://forensic-proof.com/archives/3632

수 많은 레지스트리의 키가 있으므로 자동으로 추출해주는 도구를 이용하여 아래와 같이 확인했으며 도구의 출처는 아래와 같다.

http://orionforensics.com/w_en_page/USB_forensic_tracker.php

[그림 ?] - USB 연결 흔적 확인

[그림 ?] - USB 연결 흔적 확인 2

위의 두 그림을 확인하면 두 개의 "SanDisk Cruzer Fit" USB를 연결한 흔적을 확인할 수 있고,

특이점은 Serial Number가 593으로 끝나는 USB는 최소 두 번 연결했음을 확인할 수 있고, 501로 끝나는 USB는 한 번 연결했음을 확인할 수 있다.

[그림 ?] - 드라이브 할당 확인

HKLM/SYSTEM/MountedDevices를 확인하면 외부장치에 의한 드라이브 할당 목록을 확인할 수 있고, 마지막으로 연결한 장치의 정보가 담겨 있는데,

D는 CDrom이기에 위 [그림 ?]과 [그림 ?]에서 확인할 수 있는 USB는 동시에(두개를 같이) 사용하지 않고, 593을 연결 해제후 501을 연결했음을 알 수 있다.

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

~