작은 메모장

윈도우 아티팩트 수집(이론) 본문

KISA 사이버 보안 훈련/멀웨어 식별

윈도우 아티팩트 수집(이론)

으앙내눈 2023. 6. 3. 18:03

아티팩트?

운영체제 혹은 응용 프로그램이 동작하면서 생성된 흔적 = 사용흔적

생성되는 증거는 운영체제가 만든 "생성 증거", 사용자가 만든 "보관 증거"로 분류

즉, 아티팩트는 생성 증거 안에 있음

 

왜 필요? => 침해사고의 원인을 규명하고 재발을 방지하려면... 이 아티팩트를 확보해야 함

단, 접근 권한, 정보 공개 제한, 기술적 문제 등... 아티팩트 확보에 어려움이 있음

또, 사용자 랩탑 or PC같은 엔드포인트는 아티팩트 유형이 다양 => 시스템의 영향을 최소화하면서 아티팩트를 확보

=> 가급적 노이즈와 수집 누락을 최소화 할 수 있는 도구 사용

 

윈도우의 대표적인 행위별 아티팩트

- 윈도우 OS에서 발생할 수 있는 사용자 행위들

파일 다운로드, 응용프로그램 실행, 파일 및 폴더 열람, 파일 삭제, 파일 존재여부 확인 등...

- 파일 다운로드 행위를 확인할 수 있는 아티팩트

Open/Save MRU, ADS(Alternate Data Stream), Email Attachments, Skype History, Browser Artifacts 등...

- 응용프로그램의 실행 흔적을 확인할 수 있는 아티팩트

User Assist, Windows 10 Timelines, RecentApps, ShimCache, Jump Lists, Amcache, Last-Visited MRU, Prefetch 등...

 

이걸 다 외워요? => 되겠니?

아티팩트의 종류는 무수히 많음

무작정 외우기보단, 시스템 혹은 사용자로부터 발생할 수 있는 행위를 기준으로 아티팩트를 분류하여 암기

 

디지털 아티팩트 분석 절차

절차는 크게, 획득(Acquisition) - 추출(Extracting) - 해석(Interpreting)으로 구분

- 획득 (Acquisition)

디지털 기기 혹은 저장매체로부터 디지털 증거를 획득(물리 메모리 덤프, 파일시스템 메타파일, Prefetch, 이벤트로그 등)

대상이나 상황에 따라 하드웨어적인 방법 or 소프트웨어적인 방법으로 나뉨

- 추출 (Extracting)

바이너리 형태의 디지털 증거를 추출 및 해석 -> 사람이 쉽게 인식 가능한 형태로 가공

대부분 자동화된 소프트웨어를 활용

- 해석 (Interpreting)

추출이 끝난 데이터를 분석하여 과거에 발생한 이벤트 또는 사용자의 행위를 분석 및 추적

=> 증거와 사실/주장과의 연관성을 분석하는 작업

자동화를 일부분 사용하긴 하나, 대부분 분석관의 직접적인 개입이 필요

 

RAW Level 데이터 획득

등장배경

수집하는 디지털 증거 중 라이브 환경에서는 운영체제에서 접근을 제한하는 파일/폴더가 존재

대표적으로 레지스트리 하이브(HIVE) 파일, 파일시스템의 메타파일

응용프로그램에서 접근하기 위해 API를 호출하면 운영체제가 접근거부

예를 들어, 파일을 복사/수정시 "COPYFILE", "OPENFILE"등의 API가 활용되는데, 운영체제가 복사 대상 파일의 접근 권한을 파악하고 응용 프로그램에게 접근거부 응답을 줄 수 있음

 

기본 개념

때문에, 응용 프로그램을 통해 파일 시스템에서 데이터를 얻어오는 것이 아닌

디스크 스토리지에 직접접근하여 스토리지 상의 파일시스템 자료 구조를 직접 해석해 콘텐츠를 읽어오는 방식

이렇게 하면 운영체제에 의한 특정 파일/폴더의 접근 통제에서 자유로워짐

단, 스토리지에 대한 RAW Level 접근을 해야하므로, 이를 이용하는 응용 프로그램은 관리자 수준의 권한이 필요