작은 메모장
윈도우 아티팩트 수집(이론) 본문
아티팩트?
운영체제 혹은 응용 프로그램이 동작하면서 생성된 흔적 = 사용흔적
생성되는 증거는 운영체제가 만든 "생성 증거", 사용자가 만든 "보관 증거"로 분류
즉, 아티팩트는 생성 증거 안에 있음
왜 필요? => 침해사고의 원인을 규명하고 재발을 방지하려면... 이 아티팩트를 확보해야 함
단, 접근 권한, 정보 공개 제한, 기술적 문제 등... 아티팩트 확보에 어려움이 있음
또, 사용자 랩탑 or PC같은 엔드포인트는 아티팩트 유형이 다양 => 시스템의 영향을 최소화하면서 아티팩트를 확보
=> 가급적 노이즈와 수집 누락을 최소화 할 수 있는 도구 사용
윈도우의 대표적인 행위별 아티팩트
- 윈도우 OS에서 발생할 수 있는 사용자 행위들
파일 다운로드, 응용프로그램 실행, 파일 및 폴더 열람, 파일 삭제, 파일 존재여부 확인 등...
- 파일 다운로드 행위를 확인할 수 있는 아티팩트
Open/Save MRU, ADS(Alternate Data Stream), Email Attachments, Skype History, Browser Artifacts 등...
- 응용프로그램의 실행 흔적을 확인할 수 있는 아티팩트
User Assist, Windows 10 Timelines, RecentApps, ShimCache, Jump Lists, Amcache, Last-Visited MRU, Prefetch 등...
이걸 다 외워요? => 되겠니?
아티팩트의 종류는 무수히 많음
무작정 외우기보단, 시스템 혹은 사용자로부터 발생할 수 있는 행위를 기준으로 아티팩트를 분류하여 암기
디지털 아티팩트 분석 절차
절차는 크게, 획득(Acquisition) - 추출(Extracting) - 해석(Interpreting)으로 구분
- 획득 (Acquisition)
디지털 기기 혹은 저장매체로부터 디지털 증거를 획득(물리 메모리 덤프, 파일시스템 메타파일, Prefetch, 이벤트로그 등)
대상이나 상황에 따라 하드웨어적인 방법 or 소프트웨어적인 방법으로 나뉨
- 추출 (Extracting)
바이너리 형태의 디지털 증거를 추출 및 해석 -> 사람이 쉽게 인식 가능한 형태로 가공
대부분 자동화된 소프트웨어를 활용
- 해석 (Interpreting)
추출이 끝난 데이터를 분석하여 과거에 발생한 이벤트 또는 사용자의 행위를 분석 및 추적
=> 증거와 사실/주장과의 연관성을 분석하는 작업
자동화를 일부분 사용하긴 하나, 대부분 분석관의 직접적인 개입이 필요
RAW Level 데이터 획득
등장배경
수집하는 디지털 증거 중 라이브 환경에서는 운영체제에서 접근을 제한하는 파일/폴더가 존재
대표적으로 레지스트리 하이브(HIVE) 파일, 파일시스템의 메타파일
응용프로그램에서 접근하기 위해 API를 호출하면 운영체제가 접근거부
예를 들어, 파일을 복사/수정시 "COPYFILE", "OPENFILE"등의 API가 활용되는데, 운영체제가 복사 대상 파일의 접근 권한을 파악하고 응용 프로그램에게 접근거부 응답을 줄 수 있음
기본 개념
때문에, 응용 프로그램을 통해 파일 시스템에서 데이터를 얻어오는 것이 아닌
디스크 스토리지에 직접접근하여 스토리지 상의 파일시스템 자료 구조를 직접 해석해 콘텐츠를 읽어오는 방식
이렇게 하면 운영체제에 의한 특정 파일/폴더의 접근 통제에서 자유로워짐
단, 스토리지에 대한 RAW Level 접근을 해야하므로, 이를 이용하는 응용 프로그램은 관리자 수준의 권한이 필요
'KISA 사이버 보안 훈련 > 멀웨어 식별' 카테고리의 다른 글
프로세스 이상징후 분석 (시나리오 3) (0) | 2024.07.22 |
---|---|
프로세스 이상징후 분석 (시나리오 2) (0) | 2024.07.22 |
프로세스 이상징후 분석 (시나리오 1) (0) | 2024.07.21 |
윈도우 단말의 악성코드 유입 경로와 이상징후 식별 개요 (0) | 2023.06.03 |
윈도우 아티팩트 수집(실습) (0) | 2023.06.03 |