2018 포렌식사업부 www.ablesecu.com Maximizing Potential
Argos DFASPro 소개 CONTENTS 1. Argos DFASPro 개요 2. 사용자시스템정보분석 3. 사용자인터넷정보분석 4. 사용자행위정보분석 5. 사용자프로세서정보분석 6. 삭제데이터분석 7. 기타분석기능 8. Argos DFASPro를활용한업무개선방안 Maximizing Potential
DFASPro 를활용한사용자행위분석 1. Argos DFASPro 개요 기본구성 Argos DFASPro 구동프로세스 Argos DFASPro 주요기능 Argos DFASPro 세부기능 Maximizing Potential
1. Argos DFASPro 개요 기본구성 국내제품으로디지털포렌식조사기법을자동화하여비전문가도손쉽게활용할수있는디지털포렌식솔루션입니다 기본구성 DFASPro 가설치된외장형 SSD Portable 형태로대상 PC에연결하여실행후분석진행 Target : Windows 계열 (Mac 개발중, 7월출시예정 ) Language : 한국어, 영어, 일본어지원제조사 : 더존비즈온 SSD 500G USB 3.0 Cable Soft Case Key Features 4
1. Argos DFASPro 개요 Argos DFASPro 분석프로세스 1 2 3 4 케이스생성디스크설정수집설정분석결과 STEP.01 케이스생성 사건정보, 분석관정보입력 STEP.02 디스크설정 분석대상디스크및이미지파일추가 STEP.03 수집설정 원하는수집항목선택 STEP.04 분석결과 수집된분석결과확인 5
1. Argos DFASPro 개요 Argos DFASPro 주요기능 주요기능 데이터수집 디스크이미징 활성정보분석 데이터분석 파일시그니처분석 조사대상 PC 내 필요한데이터선별수집 물리, 논리디스크를 이미지로획득 ( E01 지원 ) 활성화면캡처, 서비스, 프로세스분석 디스크분석, 키워드분석, 외장저장장치연결분석, 웹히스토리분석 파일확장자위, 변조분석 파일미리보기 Shell Bag MRU OCR 분석 비할당영역복구 증거물내보내기 원본형식미리보기지원 폴더접근, 생성이력 분석 고유그림파일의 텍스트키워드분석 삭제된데이터복구 DD 이미지, ZIP 파일 6
1. Argos DFASPro 개요 Argos DFASPro 세부기능 (1/2) 원하는항목들만설정하여꼭필요한분석만수행할수있습니다. 케이스관리및증거물추가 물리, 논리디스크및 e01, vmdk, dd, vhd 이미지분석제공 설정한정책은 관리 기능을통해다수 PC 에대해동일검사적용가능 시스템정보분석 OS 설치정보 (Windows 10 지원 ) 및드라이브정보, 시스템 On/Off 정보분석 공유폴더정보, 설치 / 자동시작 / 최근실행프로그램정보, 무선네트워크정보분석 사용자행위정보분석 웹접속기록, 포털검색어, 웹사이트별비밀번호내역, 웹세션복구, 최근문서, 최근열람정보, 휴지통파일분석 외장저장장치사용이력, 점프리스트, Shell Bag 정보및 Shell Bag MRU 정보분석 파일분석 파일별키워드포함여부, 삭제및암호화여부, 키워드별파일정보분석 파일별 Hash값및시그니처분석, 본문미리보기및원본보기, 다양한검색방법지원 ( 기간, 확장자, 키워드등 ) Thums.DB 분석., 이미지파일및 Hex 분석전용뷰제공, DRM 파일분석, 다단압축파일분석 메일분석 메일별 (PST, OST, eml) 키워드및개인정보포함여부, 보낸사람 / 받는사람별조회, 키워드별메일정보분석 본문미리보기, 다양한검색방법지원 ( 기간, 제목, 키워드등 ) 개인정보분석 메일및파일별개인정보포함여부 ( 주민등록번호, 신용카드, 계좌번호등 ), 개인정보숨김처리기능, 사용자임계치설정 7
1. Argos DFASPro 개요 Argos DFASPro 세부기능 (2/2) 원하는항목들만설정하여꼭필요한분석만수행할수있습니다. 삭제데이터복구 비할당영역에서사용자가삭제한데이터복구기능제공 증거물관리 분석결과에대한이미징파일생성, 증거물내보내기기능제공 자동보고서 자동보고서출력및저장 (PDF, HTML) 보고서생성이력관리 8
DFASPro 를활용한사용자행위분석 2. 사용자시스템정보분석 시스템정보수집분석방법활용방법 - 시스템 ON/OFF 정보 - 설치, 최근실행프로그램정보 - 무선네트워크사용이력정보 Maximizing Potential
2. 사용자시스템정보분석 시스템정보수집 주요시스템정보확인 이벤트로그정보분석을통한시스템 ON/OFF 정보분석 Prefetch 파일을자동으로분석하여최근실행프로그램내역분석 연결한무선네트워크정보내역분석 시스템 ON/OFF 정보설치 / 자동시작 / 최근실행프로그램정보무선네트워크사용이력정보 10
2. 사용자시스템정보분석 분석방법 프로그램관련이력분석 [ 시스템 ON/OFF 시간 ] [ 최근실행프로그램 ] [ 설치프로그램 ] [ 자동시작프로그램 ] [ 무선네트워크 ] 11
2. 사용자시스템정보분석 활용방법 시스템정보확인 (1/3) 시스템 ON/OFF 정보 Check Point PC 온 / 오프정보이력 정상업무시간대 Power ON EventLog ID 4625.5615.4608 수집 Power OFF EventLog ID 6006.1532.1100 수집 수집된내역을그래프화면으로출력제공 각각에 ON 정보,OFF 정보를별도로확인가능 일반적으로사용자의이상행위는업무시간이외에발생하는경우가많기때문에시스템 ON/OFF 기록을확인하여이상행위시점을추측해볼수있습니다. 12
2. 사용자시스템정보분석 활용방법 시스템정보확인 (2/3) 설치, 자동시작및최근실행프로그램정보 Check Point 설치및최근실행프로그램정보 설치프로그램정보분석 자동시작되는프로그램분석 최근실행한프로그램정보분석 프리패치에저장된로그를자동으로분석 설치된시간, 프로그램경로등을확인할수있음 수집된내역을그래프화면으로출력제공 최근실행프로그램에서는사용자가실행후삭제한프로그램이나무설치형으로동작하는프로그램의기록도확인할수있습니다. 13
2. 사용자시스템정보분석 활용방법 시스템정보확인 (3/3) 무선네트워크사용정보 Check Point 무선네트워크사용정보 무선네트워크정보분석 무선랜사용이력분석 사용자 PC 에서접속했던무선네트워크정보와무선랜사용이력을확인할수있습니다. 14
DFASPro 를활용한사용자행위분석 3. 사용자인터넷정보분석 인터넷정보수집분석방법활용방법 - 웹접속기록정보 - 포털검색어정보 - 웹다운로드정보 Maximizing Potential
3. 사용자인터넷정보분석 인터넷정보수집 주요인터넷정보확인 다양한웹브라우저의인터넷접속기록내역분석 사용자가검색한관심키워드포털검색어내역분석 각브라우저에서웹다운로드한파일내역정보분석 웹접속기록정보 포털검색어정보 웹다운로드정보 16
3. 사용자인터넷정보분석 분석방법 웹브라우저관련이력정보확인 [ 웹접속기록 ] [ 포털검색어 ] [ 웹다운로드문서 ] 17
3. 사용자인터넷정보분석 활용방법 인터넷정보확인 (1/3) 웹접속기록정보 Check Point 웹접속기록정보 TOP10 그래프화면으로출력제공 다양한웹접속기록지원 ( Explorer,Whale,chrome,Opera 등 ) 최신웹브라우저버전지원 검색조건으로필터제공 ( 포털, 메일, 기타 ) 다양한웹브라우저지원 사용자별인터넷접속기록파일위치확인및정보들을수집하여편리하게분석에활용할수있습니다. ( 사이트주소, 방문횟수, 방문시간등에데이터유형판별 ) 18
3. 사용자인터넷정보분석 활용방법 인터넷정보확인 (2/3) 포털검색어정보 Check Point 포탈검색어정보 TOP10 그래프화면으로출력제공 다양한포털검색어기록지원 ( Explorer,Whale,chrome,Opera 등 ) 최신웹브라우저버전지원 국내자주사용하는포털사이트검색 ( 구글, 네이버,11 번가, 옥션, 인터파크등 ) 사용자의관심사에대해파악할수있으며주요포털사이트의검색어뿐만아니라국내주요쇼핑몰사이트의검색결과도확인할수있습니다. 19
3. 사용자인터넷정보분석 활용방법 인터넷정보확인 (3/3) 웹다운로드정보 Check Point 웹다운로드정보 웹브라우저및웹메일다운로드한파일내역분석 TOP10 그래프화면으로출력제공 다양한웹접속기록분석 ( Explorer,Whale,chrome,Opera 등 ) 최신웹브라우저버전지원 사용자가웹브라우저를사용하여다운받은파일들의정보및사이트를확인하여불필요한정보수집을하였는지내역을검토해볼수있습니다. 20
DFASPro 를활용한사용자행위분석 4. 사용자행위정보분석 사용자행위정보수집분석방법활용방법 - 외장저장장치정보 - 최근문서정보 - 점프리스트정보 - Shell Bag MRU 정보 Maximizing Potential
4. 사용자행위정보분석 사용자행위정보수집 사용자행위정보확인 외장저장장치연결 / 해제사용내역분석사용자가열람한최근문서분석점프리스트정보를통한폴더복사이력정보분석사용자가접근 / 생성한폴더의이력을확인할수있는 Shellbag MRU 정보분석 외장저장장치사용이력정보최근문서점프리스트정보 Shellbag MRU 정보 22
4. 사용자행위정보분석 분석방법 사용자행위관련이력정보확인 [ 외장저장장치정보 ] [ 최근문서정보 ] [ 점프리스트정보 ] [ShellBag MRU 정보 ] 23
4. 사용자행위정보분석 활용방법 사용자의 USB 사용이력정보확인 (1/3) 외장저장장치정보 Check Point 외장저장장치정보 제조사및디바이스정보제공 디바이스볼륨, 볼륨명을확인가능 최초연결시간, 해제시간이력확인 링크파일분석결과에서특정볼륨명등이확인되는경우외장저장장치에기록된결과와비교하여해당외장저장장치를특정할수있습니다. 24
4. 사용자행위정보분석 활용방법 사용자가열람한최근문서정보확인 (2/3) 최근문서정보 Check Point 최근문서정보 문서열어본시간정보제공 최근문서볼륨별집계 TOP 10 제공 파일경로확인및파일찾기기능지원 존재파일 Volume S/N 정보확인 파일열람시생성되는링크파일을분석하여외부저장장치에서실행되거나열어본문서에대한정보를검색할수있으며, 실제존재하지않는삭제된문서에대한흔적도확인할수있습니다. 25
4. 사용자행위정보분석 활용방법 사용자가사용한최근프로그램정보확인 (3/3) 점프리스트정보 Check Point 점프리스트정보 볼륨별점프리스트집계그래프지원 폴더접근경로이력확인가능 폴더의생성, 접근시간을유추하여정황확인 외장저장장치로복사한폴더경로확인가능 점프리스트예시 점프리스트는최근문서와마찬가지로해당문서의원본경로가기록되며특정문서파일의외부유출정황을확인해볼수있습니다. 26
4. 사용자행위정보분석 활용방법 사용자가열어본폴더정보확인 (3/3) Shellbag MRU 정보 Check Point Shellbag MRU 정보 폴더접근경로이력확인가능 폴더의생성, 접근시간을유추하여정황확인 외장저장장치의폴더접근경로확인 Shellbag MRU 정보를확인하여사용자가접근했던폴더의이력을확인할수있으며외부저장장치의폴더구조를유추할수있습니다. 27
DFASPro 를활용한사용자행위분석 5. 사용자프로세스정보분석 활성정보수집분석방법활용방법 - 활성정보 Maximizing Potential
5. 사용자프로세스정보분석 프로세스정보수집 주요프로세스정보확인 현재실행중인활성화면수집현재실행중인프로세스, 네트워크, 서비스등다양한활성정보수집프로세스시작시간순서에따른타임라인분석지원메모리덤프를통한관련데이터정보수집 활성화면 활성정보 메모리덤프수집 29
5. 사용자프로세스정보분석 분석방법 - 프로세스관련기록분석 [ 활성화면 ] [ 활성프로세스 ] [ 활성네트워크 ] [ 활성서비스 ] 30
5. 사용자프로세스정보분석 활용방법 활성정보확인 활성정보수집 Check Point 활성정보분석 실행중인프로세스의상세정보및해당프로세스에의해로드된 DLL 정보분석 현재메모리에로드된 DLL 을참조하는프로세스정보분석 프로세스의 Hidden 여부분석 핸들정보분석 드라이버정보분석 휘발성데이터는현재실행중인프로세스, 네트워크연결정보, 서비스상태등다양한정보를포함하고있습니다. 31
5. 사용자프로세스정보분석 활용방법 활성정보확인 프로세스정보수집 / 분석 Check Point 프로세스정보 악성코드의지속적인실행을위한분석 서비스, 작업스케줄러에등록된응용프로그램분석 탐색기, 인터넷익스플로러등특정프로그램실행시함께실행되는프로그램분석 시작프로그램, 작업스케줄러, 서비스등다양한응용프로그램정보를분석 / 수집할수있습니다. 32
5. 사용자프로세스정보분석 활용방법 활성정보확인 타임라인분석 Check Point 프로세스타임라인정보 프로세스시작시간모든이벤트항목에대한시간순서에따른분석 이벤트종류에대한선택적보기지원 이벤트항목에대한상세보기지원 시간범위설정 프로세스타임라인정보를통하여시간순서에따른정보들을확인할수있습니다. 33
DFASPro 를활용한사용자행위분석 6. 삭제데이터복구 삭제데이터분석활용방법 - 비할당영역복구 - 파일시스템삭제정보 - 휴지통삭제정보 Maximizing Potential
6. 삭제데이터정보분석 삭제데이터분석 삭제데이터정보분석 비할당영역에남아있는삭제된데이터를복구하는비할당영역복구기능을지원 파일시스템 $MFT 에기록된정보를수집하여삭제정보를보여주는삭제파일기능제공 사용자계정별휴지통이력관리탐색기지원 비할당영역복구 ( 데이터복구 ) 삭제파일정보휴지통관리 ( 탐색기 ) 35
6. 삭제데이터정보분석 활용방법 사용자가삭제한삭제파일확인 (1/3) 비할당영역복구 Check Point 삭제데이터복구 복구드라이브, 페이지파일영역선택가능 다양한복구파일유형선택가능 ( softcamp.drm 지원 ) 복구파일결과 UI 지원 ( 키워드검색가능 ) 미국 NIST 등록된이미지파일로유사솔루션 (6 개이상 ) 테스트결과높은복구율을기록하였습니다. 비할당영역복구기능을사용하여데이터를복구할경우복구자료결과값이문서유형탭에추가되어 DFAS UI 에서결과를확인할수있습니다. 36
6. 삭제데이터정보분석 활용방법 사용자가삭제한삭제파일확인 (2/3) 삭제파일 Check Point $MFT 정보파싱 파일시스템에남아있는삭제정보를분석 삭제정보확장자별로분류하여내역지원 복구가능여부필드창에표시 ( 삭제 > Overwritten > Bad ) 삭제파일정보에복구가능여부를삭제필드창에표시하여복구가능여부를판별할수있도록지원합니다. 37
6. 삭제데이터정보분석 활용방법 사용자가삭제한휴지통문서확인 (3/3) 휴지통삭제 ( 탐색기 ) Check Point 휴지통삭제분석 사용자별휴지통을통한삭제되었거나남아있는파일이력확인 탐색기을통하여 $Recycle.bin 분석지원 사용자계정별휴지통삭제파일이력을확인할수있는 $Recycle.bin 을탐색기에서확인할수있도록지원합니다. 38
DFASPro 를활용한사용자행위분석 7. 기타분석방법 활용방법 - 파일관련이력분석 - 파일시스템관련이력분석 - 메일관련이력분석 - 기타추가분석 Maximizing Potential
7. 기타분석방법 활용방법 원하는키워드검색을통한문서확인 [ 파일분석 ] [ 파일분석설정 ] 분석결과 메일분석메뉴에서결과확인 [ 파일내용확인 ] 40
7. 기타분석방법 활용방법 파일시스템관련이력분석 [$LogFile 분석 - 파일삭제, 이동, 생성등파악 ] [Windows Search 분석 - 검색된파일이력확인 ] 41
7. 기타분석방법 활용방법 사용자가사용한이메일 (PST, OST, eml) 메일관련이력분석 [ 메일분석 ] [ 메일분석설정 ] 분석결과 메일분석메뉴에서결과확인 [ 메일내용확인 ] [ 첨부파일확인 ] 42
7. 기타분석방법 활용방법 기타추가분석 [ 이벤트로그파일검색 ] [ 로그파일내보내기 ] 정책이벤트 ID 내용 [ 이벤트로그확인 ] 로그인이벤트 4625 알수없는계정, 잘못된암호를이용한로그인시도 개체액세스 4656,4657,4658,4659, 4660,5140,5156 개체접근허가, 레지스트리접근, 개체삭제등 프로세스추적 4688,4689,4690, 신규프로세스생성, 종료, 중복호출, 4691,5712 간접접근, 원격호출 계정관리 472x,473x 사용자계정생성, 암호변경시도, 삭제된계정, 구성원추가, 삭제, 계정잠김등 로그온 4776,4777,4634 로그온성공, 실패, 로그오프 정책변경 4946~4648 방화벽예외목록변경 [ 이벤트 ID 별침해사고관련내용 ] * 참조 : 침해사고조사를위한디지털증거설정및분석방법, 금융보안원 43
DFASPro 를활용한사용자행위분석 8. Argos DFASPro 를활용한업무개선방안 IT 보안감사업무에적용 침해사고대응업무에적용 이직 / 퇴직자관리업무에적용 Maximizing Potential
8. Argos DFASPro 를활용한업무개선방안 IT 보안감사업무에적용 시스템정보감사 : 시스템장치및프로그램설정정보, OS 설치및계정에대한현황감사 파일및문서감사 : 주요문서에대한보유현황및키워드검사를통한위반문서의현황감사 사용자행위감사 : 인터넷사용및검색내역, 최근실행프로그램, 최근열어본문서확인으로사용자의행위유추 외부저장장치이력감사 : USB/ 외장하드연결정보및외장하드로복사한폴더내역확인 협력업체및파견근로자의행위감사를통한위반내역확인 신속한정보분석을통한내부감사업무효율성극대화 45
8. Argos DFASPro 를활용한업무개선방안 침해사고대응업무에적용 휘발성데이터수집 : 현재실행중인프로세스, 네트워크연결정보등다양한정보수집 메모리덤프 : 시스템메모리에상주하는관련데이터수집 최근실행프로그램분석 : 최근실행프로그램분석을통한악성코드실행시간확인 사용자행위분석 : 웹사용내역, 웹다운로드, 최근열어본문서, USB/ 외장하드연결정보분석을통한감염경로확인 이벤트로그분석 : 이벤트 ID 별침해사고관련내용확인 46
8. Argos DFASPro 를활용한업무개선방안 이직 / 퇴직자관리업무에적용 사용자행위분석 : 웹메일사용내역, 클라우드, USB/ 외장하드연결정보분석을통한내부정보유출행위확인 최근실행프로그램분석 : 최근실행프로그램분석을통한와이핑 / 로그클린어등삭제소프트웨어사용내역확인 점프리스트분석 : 개인소유의 USB/ 외장하드로내부정보가포함된폴더복사내역확인 Shell Bag MRU 분석 : 개인소유의 USB/ 외장하드폴더사용내역확인 이직 / 퇴직자원본 HDD 에대한사본생성 : 이직 / 퇴직자가사용했던 PC 의원본 HDD 에대한사본 HDD 생성후 이직 / 퇴직자의서명확인 47
감사합니다 Sales : 류지각차장 T E L : 010.8849.3962 Mail : ryu@ablesecu.com www.ablesecu.com Maximizing Potential