PowerPoint 프레젠테이션

윈도우 8 은 포렌식도다르다? Windows 8 Forensics ASEC / A-FIRST 김진국

Contents 0 1 새로운보안기능 0 2 포렌식아티팩트변화 0 3 새로운포렌식아티팩트 0 4 실전악성코드포렌식

01 새로운보안기능 1. 안전한부팅 2. 신중한부팅 3. 새로운로그온인증방식 4. 윈도우디펜더 5. 스마트스크린필터 6. 익스플로잇방지기법

BOOT MGR MBR VBR 1. 안전한부팅 ELAM(Early Launch Anti-Malware) 을사용한안전한부팅 (Secured Boot) ROM BIOS Power-On Self-Test MBR VBR Kernel 3 rd Party drivers Anti-Malware Software Windows logon Pre Verifier Firmware Boot Manager Kernel ELAM driver 3 rd Party drivers Windows logon Copyright (C) AhnLab, Inc. All rights reserved. 4

2. 신중한부팅 원격증명 (Remote Attestation) 을이용한신중한부팅 (Measured Boot) POST OS Boot Components Windows Kernel Initialization Pre-OS AM Software Initialization Kernel + AM Health? AM Remote Services Boot Driver Initialization Other Initialization Windows Logon AM Client Services TPM Copyright (C) AhnLab, Inc. All rights reserved. 5

3. 새로운로그온인증방식 사진암호 Copyright (C) AhnLab, Inc. All rights reserved. 6

3. 새로운로그온인증방식 PIN 암호 Copyright (C) AhnLab, Inc. All rights reserved. 7

4. 윈도우디펜더 안티스파이웨어로알려진마이크로소프트보호솔루션 윈도우 7 윈도우 8 스파이웨어실행방지 동의없이설치된소프트웨어실행방지 스파이웨어실행방지 바이러스탐지 행위기반탐지 네트워크침입탐지 Copyright (C) AhnLab, Inc. All rights reserved. 8

5. 스마트스크린필터 기존윈도우의 IE 스마트스크린필터 (IE 8.0 부터지원 ) Copyright (C) AhnLab, Inc. All rights reserved. 9

인터넷에서다운받은 파일을식별하는 방법은? 힌트 ) NTFS Copyright (C) AhnLab, Inc. All rights reserved. 10

5. 스마트스크린필터 윈도우 8 의스마트스크린필터 ( 타웹브라우저지원, ADS Zone Identifier 로경고 ) Copyright (C) AhnLab, Inc. All rights reserved. 11

6. 익스플로잇방지기법 기존윈도우의익스플로잇방지기법 DEP 데이터실행방지 (Data Execution Prevention), 윈도우 XP SP2 에서도입 ASLR 주소공간레이아웃랜덤화 (Address Space Layout Randomization), 윈도우비스타부터 윈도우 8 의향상된익스플로잇방지기법 ASLR 랜덤화블록의크기를작게하고, 랜덤지수를높임 Kernel 구조변경, 무결성체크, NX(Non-Executable) non-paged pool 등 Heap 구조변경, 인코딩, 검증, 랜덤성강화등 IE 10 향상된보호모드 (Enhanced Protected Mode) 지원 Copyright (C) AhnLab, Inc. All rights reserved. 12

02 포렌식아티팩트변화 1. 포렌식아티팩트비교 2. 물리 / 가상메모리 3. 레지스트리 4. 웹브라우저사용흔적 5. 익스플로러캐시

1. 포렌식아티팩트비교 윈도우 7 윈도우 8 1 물리 / 가상메모리 물리 / 가상메모리 2 파일시스템 파일시스템 3 레지스트리 레지스트리 4 프리 / 슈퍼패치 프리 / 슈퍼패치 5 웹브라우저사용흔적 웹브라우저사용흔적 6 이벤트로그 이벤트로그 7 링크파일 링크파일 8 휴지통흔적 휴지통흔적 9 볼륨섀도우복사본 10 익스플로러캐시 볼륨섀도우복사본 익스플로러캐시 Copyright (C) AhnLab, Inc. All rights reserved. 14

2. 물리 / 가상메모리 물리메모리 메모리구조변경 기존메모리분석도구로분석불가능 가상메모리 pagefile.sys 이외에 swapfile.sys(256 MB) 추가 Copyright (C) AhnLab, Inc. All rights reserved. 15

2. 물리 / 가상메모리 swapfile.sys? C:\Temp> strings swapfile.sys PUBLIC=C:\Users\Public SystemDrive=C: SystemRoot=C:\Windows TEMP=C:\Users\JK\AppData\Local\Packages\microsoft.windowscomm_8wekyb3d8bbwe\AC\Temp TMP=C:\Users\JK\AppData\Local\Packages\microsoft.windowscomm_8wekyb3d8bbwe\AC\Temp USERDOMAIN=FORENSICER USERDOMAIN_ROAMINGPROFILE=FORENSICER USERNAME=JK USERPROFILE=C:\Users\JK windir=c:\windows C:\Program Files\WindowsApps\microsoft.windowscomm_16.4.4206.722_x64 8wekyb3d8bbwe\LiveComm.exe "C:\Program Files\WindowsApps\microsoft.windowscomm_16.4.4206.722_x64 8wekyb3d8bbwe\LiveComm.exe" - ServerName:Microsoft.WindowsLive.Platform.Server "C:\Program Files\WindowsApps\microsoft.windowscomm_16.4.4206.722_x64 8wekyb3d8bbwe\LiveComm.exe `We C:\Windows\SYSTEM32\ntdll.dll C:\Windows\system32 Copyright (C) AhnLab, Inc. All rights reserved. 16

3. 레지스트리 윈도우의다양한설정정보를담고있는하이브구조의데이터베이스 %SystemRoot%\system32\config, %UserProfile% BCD-Template 부팅환경설정데이터 (Boot Configuration Data) COMPONENTS 설치된컴포넌트관리정보 DEFAULT 제어판, 환경변수, 키보드레이아웃, 프린터등의정보 SAM 로컬계정과그룹정보 SECURITY 시스템보안정책과권한할당정보 SOFTWARE 시스템부팅과관련없는시스템전역설정정보 SYSTEM 시스템부팅에필요한시스템전역설정정보 NTUSER.DAT UsrClass.dat 사용자별시스템설정정보 Copyright (C) AhnLab, Inc. All rights reserved. 17

3. 레지스트리 새로운레지스트리하이브파일 BBI DRIVERS ELAM 메트로앱이벤트, 백그라운드작업 드라이버 ID, 파일, INF 파일, 패키지정보 (HKLM\SYSTEM\DriverDatabase) 윈도우디펜더신중한 (Measured) 부팅관련정보 Settings.dat 메트로앱로컬과로밍상태 Copyright (C) AhnLab, Inc. All rights reserved. 18

3. 레지스트리 새로운레지스트리아티팩트 TypedURLsTime HKU\{SID}\Software\Microsoft\Internet Explorer\TypeURLsTime Copyright (C) AhnLab, Inc. All rights reserved. 19

3. 레지스트리 새로운레지스트리아티팩트 사용자계정정보 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\{RID} 암호화 Live 로그온정보 로그온방식 JK proneer@gmail.com pr0neer 사용자프로필사진 Copyright (C) AhnLab, Inc. All rights reserved. 20

4. 웹브라우저사용흔적 인터넷익스플로러버전 9 캐시히스토리쿠키다운로드목록 %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\<Random>\<All Files> %LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\index.dat %LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\<period>\index.dat %APPDATA%\Microsoft\Windows\Cookies\index.dat %APPDATA%\Microsoft\Windows\Cookies\<All Files> %APPDATA%\Microsoft\Windows\IEDownloadHistory\index.dat 아이콘캐시 %LOCALAPPDATA%\Microsoft\Internet Explorer\xxxxxiconcache.dat 세션복원정보 %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{GUID}.dat %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Last Active\RecoveryStore.{GUID}.dat %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{GUID}.dat %UserProfile%\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Last Active\RecoveryStore.{GUID}.dat 호환성목록 DOM 저장소 %LOCALAPPDATA%\Microsoft\Internet Explorer\IECompatData\iecompatdata.xml HKU\Software\Microsoft\Intenet Explorer\BrowserEmulation\ClearbleListData\UserFilter %LOCALAPPDATA%\Microsoft\Internet Explorer\DOMStore\index.dat Copyright (C) AhnLab, Inc. All rights reserved. 21

4. 웹브라우저사용흔적 인터넷익스플로러버전 10 index.dat 가사라짐 모든브라우저사용흔적을단일캐시파일에기록 %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV##.dat Copyright (C) AhnLab, Inc. All rights reserved. 22

4. 웹브라우저사용흔적 WebCacheV##.dat ESE (Extensible Storage Engine) 데이터베이스형식 (Exchange Server, AD, Live Messenger, Search) Copyright (C) AhnLab, Inc. All rights reserved. 23

5. 익스플로러캐시확장 익스플로러캐시저장경로 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 윈도우 7 윈도우 8 Copyright (C) AhnLab, Inc. All rights reserved. 24

03 새로운포렌식아티팩트 1. 메트로환경아티팩트 2. 파일히스토리 3. PC 복구와 PC 초기화 4. 익스플로러캐시확장

1. 메트로아티팩트 앱실행파일앱패키지목록앱바로가기시작화면고정목록시작화면타일배열앱인터넷사용흔적앱저장소앱푸시알림설정 %SystemDrive%\Program Files\WindowsApps %UserProfile%\AppData\Local\Packages %UserProfile%\AppData\Local\Microsoft\Windows\Application Shortcuts %UserProfile%\AppData\Local\Microsoft\Windows\RoamingTiles %UserProfile%\AppData\Local\Microsoft\Windows\appsFolder.itemdata-ms %UserProfile%\AppData\Packages\[AppName]\AC %SystemDrive%\ProgramData\Microsft\Windows\AppRepository HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications Copyright (C) AhnLab, Inc. All rights reserved. 26

2. 파일히스토리 새롭게추가된파일백업기능 제어판 파일히스토리 네트워크위치, 외장형드라이브에자동백업 라이브러리, 데스크톱, 연락처, 즐겨찾기 Copyright (C) AhnLab, Inc. All rights reserved. 27

3. PC 복구 포맷없이간편하게시스템복구가능 Copyright (C) AhnLab, Inc. All rights reserved. 28

PC 복구전 PC 복구후 Copyright (C) AhnLab, Inc. All rights reserved. 29

3. PC 초기화 포맷없이간편하게시스템초기화가능 Copyright (C) AhnLab, Inc. All rights reserved. 30

PC 초기화전 PC 초기화후 비할당영역 Copyright (C) AhnLab, Inc. All rights reserved.

04 실전악성코드포렌식 1. 악성코드분석방법 2. 통합타임라인분석 3. 샘플 #1 4. 샘플 #2

1. 악성코드분석방법 01 시점을알수없는경우 체계적인하향식접근방법필요 02 시점을알거나의심시점을발견한경우 해당시점을기준으로통합타임라인분석필요 Copyright (C) AhnLab, Inc. All rights reserved. 33

2. 통합타임라인분석 시간정보가포함된아티팩트를 시간순으로정렬하거나통계를내어분석하는방법 웹애플리케이션 (IIS, 아파치등 ) 로그 웹브라우저 (IE, 파폭, 크롬등 ) 흔적 이벤트로그 (EVT, EVTX) 프리패치 복원지점 / 볼륨섀도우복사본 링크파일 레지스트리 EXIF 메타데이터 휴지통정보 (INFO2, $I) 문서파일메타데이터 PE 컴파일정보 데이터베이스정보 패킷메타데이터 각종로그 (Setupapi, xpfirewall 등 ) Copyright (C) AhnLab, Inc. All rights reserved. 34i

2. 통합타임라인분석 # log2timeline $ mount -o ro, loop, show_sys_files, streams_interface=windows, offset=368050176 "/mnt/hgfs/image.001" /mnt/windows_mount $ log2timeline -p -r -f mft, evtx, restore, recycler, win_link, prefetch, sam, security, software, ntuser, exif -z Asia/Seoul /mnt/windows_mount -w timeline.csv $ l2t_process -b image_bodyfile.txt 09-18-2012..09-20-2012 > timeline.csv Copyright (C) AhnLab, Inc. All rights reserved. 35

2. 통합타임라인분석 # log2timeline Copyright (C) AhnLab, Inc. All rights reserved. 36

3. 샘플 #1 # Win-Trojan/Malpacked3.Gen C:\$Recycle.Bin> x.jpg Copyright (C) AhnLab, Inc. All rights reserved. 37

3. 샘플 #1 # Win-Trojan/Malpacked3.Gen Copyright (C) AhnLab, Inc. All rights reserved. 38

4. 샘플 #2 # Win32/Parite C:\$Recycle.Bin> x.exe Copyright (C) AhnLab, Inc. All rights reserved. 39

4. 샘플 #2 # Win32/Parite 윈도우문제보고 (Windows Error Reporting) Copyright (C) AhnLab, Inc. All rights reserved. 40

4. 샘플 #2 # Win32/Parite 윈도우문제보고 (Windows Error Reporting) Copyright (C) AhnLab, Inc. All rights reserved. 41

4. 샘플 #2 # Win32/Parite 윈도우문제보고 (Windows Error Reporting) Copyright (C) AhnLab, Inc. All rights reserved. 42

4. 샘플 #2 # Win32/Parite 윈도우문제보고 (Windows Error Reporting) /ProgramData/Microsoft/Windows/WER/ReportArchive/AppCrash_x.exe_c598da78 4abfeeaa78a28a697595ebb2f4f7a43_cab_095c6e9a/Report.wer Copyright (C) AhnLab, Inc. All rights reserved. 43

감사합니다 Conference Of Researchers & Engineers