SeoulTech 2013-2 nd 컴퓨터보안 박종혁교수 Tel: 970-6702 Email: jhpark1@snut.ac.kr
학습목표 수집된디지털데이터를분석하여사건의실마리또는증거를찾기위한다양한기술들을살펴본다. 디지털증거분석을데이터뷰잉, 검색, 통계분석, 타임라인분석기술등다양한기술에대해살펴본다. 학습내용 데이터뷰잉, 디스크브라우징기술 다양한증거분석기술 증거분석도구를활용한증거분석 안티포렌식대응기술
1. 디스크브라우징기술 2. 검색기술 3. 타임라인분석 4. 통계분석 5. 로그분석 6. 시각화기술 7. 안티포렌식대응기술
기본적인증거분석대상은확보한저장매체 복제한디스크사본, 디스크이미지파일 USB 드라이브, CD 등의저장매체에서생성한이미지파일 디스크브라우징 (Disk Browsing) 저장매체또는하드디스크이미지의내부구조와파일시스템을확인하고, 파일시스템내부에존재하는파일에대응되는응용프로그램의구동없이쉽고빠르게분석할수있도록하는기법 복제한이미지를사용자가수동으로마운팅해서열람할필요가없어분석시간을줄일수있음 디스크브라우징도구 EnCase, FTK, Final Forensic 등
EnCase 의디스크브라우징기능
기본적인디스크브라우징기능 파일시스템의구조를확인하고메타데이터를출력 각파일과관련된정보들 ( 생성ㆍ수정ㆍ접근시간, 해쉬값, 시그니처, 저장위치등 ) 을파악 검색, 타임라인분석, 미리보기기능등 파일확장자변경여부, 암호파일등을확인할수있으며, 복구가능한삭제파일과비할당영역에있는파일파편들을검토
Miranda 는파일시스템분석도구로, 확장자를변경한파일및암호화문서파일확인가능 암호화문서확인 파일확장자불일치여부확인
파일포맷이있는데이터를가시적으로확인할수있도록, 디지털데이터의구조를파악해서시각적으로정보를출력하는기술 헥스에디터를사용하기도하지만, 좀더효과적인분석을위해서는개선된데이터뷰잉기술이필요 헥스에디터 (hex-editor) 로확인한윈도우레지스트리파일
레지스트리파일을헥스에디터 (hex-editor) 만으로분석하기힘든단점을보완하기위해, 이를가공해서사용자가편리하게분석할수있도록도와주는 RegAn RegAn: 윈도우레지스트리파일뷰잉 & 분석도구
미리보기기능 문서, 사진파일등의다양한파일을찾아낸뒤, 개별적으로응용프로그램을실행하여열람하지않고 EnCase 와같은도구로한번에볼수있도록해주는기능
검색기술의필요성 저장매체가대용량화됨에따라수집되는디지털데이터의양도매우많아지고있어, 사건의단서나증거를찾는것은점차어려워짐 사건과관련된자료들을선별하기위한검색기술개발이필요함 포렌식조사 / 분석은연속되는검색의반복 모든파일들의키워드, Signature 에대해검색을반복해야함 잘알려진파일은검색대상에서제외하고, 주목해서검색할대상을선정하여, 검색범위를축소하는것이중요함. 발전된형태의검색기술을사용하여조사 / 분석단계에투입되는시간비용을줄일수있어야함
일반검색 ( 키워드검색 ) 파일또는저장매체전체를대상으로특정키워드를입력하여검색 키워드검색을통해필요한증거를찾기위해서는텍스트인코딩, 대ㆍ소문자등의사항을고려해야함 같은키워드라도인코딩방식에따라전혀다른값이되기때문에찾고자하는키워드의형태를결정해서검색을수행 파일이름, 속성, 내부문자열 / 코드값, 시그니쳐등을선정하여목적파일을쉽고빠르게찾는기술 (String, Index Search) 해쉬검색 기존에구축된알려진파일의해쉬셋 (Reference Data Set) 을사용하여, 조사분석대상을식별하고검색수준을선정할수있는기술 슬랙검색 파일시스템의잉여공간에남아있는기존파일들의조각정보를찾아내는기술
GREP(Globally Find Regular-Expression and Print) Unix 계열의운영체제에서검색을위해사용자가정의할수있는표현명령어 정규표현식을사용해서다양한형태의키워드를하나의식으로설정가능
GREP(Globally Find Regular-Expression and Print) Unix 계열의운영체제에서검색을위해사용자가정의할수있는표현명령어 정규표현식을사용해서다양한형태의키워드를하나의식으로설정가능
GREP(Globally Find Regular-Expression and Print) 정규표현식 의미 사용예제 ^ 문자열의처음 ^aaa : 문자열의처음에 aaa를포함하면매칭 $ 문자열의끝 aaa$ : 문자열의끝에 aaa를포함하면매칭. 하나의문자매칭.lue : alue, blue, clue...? * + 바로이전문자의빈도가 0 또는 1인경우매칭바로이전문자의빈도가 0 이상인경우매칭바로이전문자의빈도가 1이상인경우매칭 forensics? : forensic 또는 forensics digital_*for : digitalfor, digital_for, digital for... digital_ +for : digital_for, digital for... [ABC] A, B, C 중의하나의문자매칭 dig[ei]tal : digetal, digetal [^ABC] [A-C] A, B, C 이외의문자매칭 A 부터 C 중에하나의문자매칭 dig[^i]tal : digetal, digftal... (digital제외) [^a-z] : 소문자이외의문자매칭 [a-d] : a, b, c, d [0-2] : 0, 1, 2 \ 특수문자를일반문자로사용하는경우 [?[\]] :?, [, ] X{M} 문자 X 를 M 번반복 h{3} : h 가 3 번이상반복 (hhh, hhhh...) X{M,N} 문자 X 를 M 회이상 N 회이하반복 h{3,5} :hhh, hhhh, hhhhh a b a, b 둘중에하나인경우매칭 web\.(com) (net) : web.com, web.net
GREP(Globally Find Regular-Expression and Print) Name Kim Number 870101-1234567 Name Lee Number 802110-2894561 Name Park Number 841218-1236874 Name Han Number 835577-1654789 Name Hong Number 880202-2345678 유닉스에서 GREP 명령어사용하여검색 # grep.*[0-9]{2}[01]{1}[0-9]{1}[0-3]{1}[0-9]{1}-[0-9]{7} DataFile 명령어출력결과 Name Kim Number 870101-1234567 Name Park Number 841218-1236874 Name Hong Number 880202-2345678
파일및문자열검색 검색작업은지속적으로이루어지므로포렌식전문검색도구를쓰는것이유용함 WinGREP Search Tool (Hurricane Software ) - 다중디렉토리를포함, 제외검색 - 키입력을최소화한사용자인터페이스 - 미리보기기능 - 압축 / 바이너리파일에대한검색기능 - PDF/MS-Office 파일검색기능
Hashed Search 원리 yes 시스템및프로그램파일 표준 Hash Set (Well known) 표준과일치하는가? no 조사대상제외 용의자컴퓨터파일의해쉬값 DB 입력및 해쉬비교검색 yes 주요조사대상등록 데이터영역의파일 수사관개인해쉬 lib. 개인 lib 과일치하는가? no 일반조사대상등록 검색대상을자동으로식별및구분하여조사우선순위를부여할수있음
National Software Reference Library (NSRL) 美 NIST 산하 CFTT에서제공하는국가표준참조데이터 Justice's National Institute of Justice (NIJ) 의지원 NSRL의목적 범죄에사용되는컴퓨터파일의식별자동화 증거에포함된파일조사를효율적으로지원 NSRL의세부내용 다년간각종 S/W 및알려진파일을수집, 이에대한정보와 hash 값을 DB 목록화 (TOTAL 50,121,818 files, 15,722,076 unique hash values) 전세계 8천여개 S/W, 35개국언어 OS의참조데이터셋 (RDS:Reference Data Set) 구축
NSRL 활용방안 용의자컴퓨터내의파일내용과 NSRL 목록을비교분석, 알려진파일을쉽게식별하여조사범위집중가능 수사관은평소표준참조데이터를입수하거나제작하여분석 조사과정을효율적으로체계화하여야함 분석프로그램 용의자컴퓨터 알수없는파일 NSRL 알려진파일
새로운검색기술의필요성 데이터의대용량화 하드디스크기술발달로 S-ATA 1TB 까지시판 문서, 그림, 동영상의다양한데이터를인터넷으로공유함으로써조사에필요한데이터량이크게증가 OS 와응용프로그램의크기증가등 소요시간의증가 대용량데이터를수집하고분석하는데많은시간이소요됨 컴퓨터처리속도증가에비해처리할데이터는엄청나게증가함 해결방안 디스크이미지에대한인덱스를생성하여데이터를빠르게검색
타임라인분석 디지털데이터의시간정보는범죄사실을규명하기위해매우중요한정보 파일시스템상에저장되는파일의시간정보, 파일내부의메타데이터에저장되는시간정보등다양한곳에저장되어있는시간정보를이용, 타임라인 (Timeline) 을구성함으로써시스템사용자의행위를추적할수있음
통계분석 파일종류별통계분석으로사용자의컴퓨터사용수준을파악할수있으며시스템의주요사용목적을추측할수있음 아래 Miranda 의파일별통계분석으로, 현재파일시스템에는멀티미디어 ( 화상, 동영상등 ) 와문서파일이많이존재한다는것을확인할수있음 =
로그 (LOG) 란? 시스템에접속한사용자의행위및시스템의상태를주기적으로저장해놓은기록 로그를이용하여외부침입의흔적과사용자가어떠한명령어를사용했는지, 그리고시스템이처리한업무와에러등의정보등을파악 서버시스템의침해사고조사와같은경우가장기본적으로행해지는분석중의하나 로그의종류 Unix 시스템계열로그, Windows 계열로그, 웹 (Web) 로그등 시스템의종류에따라특별한설정없이기본적으로생성되는로그가있는반면, 사용자의설정이있어야만생성되는로그도존재 조사자는각시스템의기본로그와그렇지않은로그의분석방법을숙지해야함
시스템별로그디렉터리 Unix 시스템 HP-UX Solaris, AIX 디렉터리 /usr/adm /var/adm Linux, BSD /var/log 로그파일의종류및기본적인기능 파일명 기능 acct 또는 pacct 사용자별로실행되는모든명령어를기록 aculog 다이얼 - 아웃모뎀관련기록 ( 자동호출장치 ) lastlog loginlog messages sulog utmp utmpx 각사용자의가장최근로그인시간을기록실패한로그인시도를기록부트메시지등시스템의콘솔에서출력된결과를기록하고 syslog에의하여생성된메시지도기록 su 명령사용내역기록현재로그인한각사용자의기록 utmp 기능을확장 (extended utmp), 원격호스트관련정보등자료구조확장 wtmp wtmpx vold.log xferlog 사용자의로그인, 로그아웃시간과시스템의종료시간, 시스템시작시간등을기록 wtmp 기능확장 (extended wtmp) 플로피디스크나 CD-ROM과같은외부매체의사용에서발생하는에러를기록 FTP 접근기록
이벤트로그 Windows 는기본적으로이벤트 (event) 로그를시스템운영전반에걸쳐서저장 조사자는이벤트로그의분석을통해해당시스템의전반적인동작을알수있으며, 증거자료를획득할수도있음 이벤트로그의종류 응용프로그램로그 응용프로그램이나기타프로그램의동작에대한이벤트가저장되며, 기록되는이벤트는소프트웨어개발자에의해결정 보안로그 유효하거나유효하지않은로그온시도및파일생성, 열람, 삭제등에관련된이벤트를기록 시스템로그 Windows 시스템구성요소가기록하는이벤트로시스템부팅시드라이버가로드되지않는경우와같이구성요소의오류를기록
이벤트헤더정보 정보 의미 날짜시간사용자컴퓨터 이벤트가발생한날짜이벤트가발생한시간이벤트를발생시킨사용자의이름이벤트가발생한컴퓨터의이름 원본이벤트를기록한소프트웨어 ( 이벤트가일어난프로세스 ) 이벤트 ID 범주 종류 해당원본의특정이벤트유형을식별하는번호 이벤트의원본에의한이벤트분류로주로보안로그에서사용됨 이벤트심각도의분류로오류, 정보, 경고, 성공, 감사, 실패감사로분류 이벤트정보의종류 이벤트유형오류경고정보성공감사실패감사 설명데이터손실이나기능상실같은중대한문제로시스템을시작하는동안서비스가로드되지못했을경우와같은이벤트기록시스템에문제가발생할수있는문제를미리알려주는이벤트로디스크공간이부족할때와같은이벤트기록응용프로그램, 드라이버또는서비스가성공적으로수행되었음을설명하는이벤트사용자가시스템에성공적으로로그온했을경우와같이보안이벤트가성공했음을나타냄사용자가시스템에로그온실패했을경우와같이보안이벤트가실패했음 을나타냄
웹서비스를제공하는웹서버의종류에따라다른형태로저장 CLF(Common Log Format) 로파일을생성, 웹서버의종류와설정에따라조금씩차이 CLF 저장정보및설명 로그정보 Host Authuser Date Request 설명클라이언트의호스트이름이나 IP 주소인증이필요한경우사용자이름기록접속한시간과날짜기록클라이언트가요청한메시지 Status 요청한것에대한서버의처리사항 ( 상태코드 ) Bytes 전송된 Bytes 의크기 ( 헤더제외 )
Event Log Explorer 로그에대한부가설명및바이너리데이터제공 Log Parser 커맨드라인에서실행, 텍스트기반의로그를 SQL 쿼리를이용하여분석 Event Log Explorer Visual Log Parser
보이지않는것을일정한형태로나타내거나가려져있던어떤현상이나실체가 눈에띄게드러나게하는것으로추상적인자료를사람이인지할수있는형대로 만드는과정 Open Knowledge Viewer EnCase 의디스크할당상태시각화기능
안티포렌식 (Anti-Forensic) 이란? 포렌식기술에대응하여자신에게불리하게작용할가능성이있는증거물을차단하려는일련의활동 과거에는증거가될수있는자료들을수동으로처리하였지만, 최근에는추적및증거물획득을원천적이고자동화된방법으로막아주는전문제품들이등장하고있음 안티포렌식기법 주로데이터암호화등을통한복구기법회피, 중요증거데이터의증거자동삭제, 데이터은닉제품등이있음 데이터영구삭제 Disk Wiping, Degausser 증거자동삭제 데이터암호화 압축파일, 문서파일등의암호화등 데이터은닉 스테가노그래피
Disk Wipe 하드디스크의기존데이터를완벽히제거하고모든 Sector 의내용을 0 으로만드는과정 디가우저 ( 소자, Degausser) 하드디스크나테이프에강력한자기장을노출시켜기록된데이터를파괴하고복구가불가능하도록하는장비 [ Disk Wipe S/W ] 소자용전문제품 (Degausser - BTE)
증거물생성의사전봉쇄 목적 : OS에서자동으로생성되는정보중, 증거가될만한모든정보들을생성하는즉시자동으로삭제 특징 : Web Pages, 그림, 동영상, 음성파일, E-mail, 레지스트리, 쿠키, 히스토리파일등이주요삭제대상 제품 : Window Washer, Evidence Eliminator 등
Eraser 디스크미사용영역완전삭제
데이터복구기법회피기술 디스크덮어쓰기 삭제된파일의데이터중물리적으로디스크에남아있는부분을덮어쓰고삭제하는과정을반복하면데이터복구기법을회피할수있음 美국방성 (DoD) 에서는기밀자료를삭제하기위한표준 (DoD5220, 22- M) 을다음과같이제시하고있음 1. 임의의문자로데이터를덮어씀 2. 첫번째문자의보수로덮어씀 3. 다시임의의문자로데이터를덮어씀 4. 이과정을 7 회반복
데이터복구기법회피기술 ( 계속 ) Final eraser 제조사 : 한국 Final data 社 목적 : 자신의하드디스크에저장되어있는자료를파일, 디렉토리, 디스크단위로완벽하게삭제 특징 : 미국방성권고안 (DoD5220, 22-M) 인 7 회삭제보다더강화된수준으로 36 회덮어쓰기및삭제를반복 이러한삭제방법은 S/W 적인방법이외에도 H/W 적인방법으로도복구가불가능함
데이터복구는저장매체의비할당영역으로부터삭제된데이터를복구하는기술 하드디스크의추상적인구조 : 파일 A( 정상 ) 하드디스크의추상적인구조 : 파일 A( 삭제 ) 파일 A 를삭제하면데이터가그대로유지된채비할당영역으로들어가게된다. 삭제된파일은파일시스템의비할당영역에잔존 데이터는새로운파일생성되어해당영역이덮어씌워지지않으면데이터복구도구를이용하여복구가능
삭제파일복구기술의필요성 비할당영역에서삭제파일을복구함으로써심도있는컴퓨터사용흔적조사가가능 용의자및범죄자는증거인멸을위해저장매체를물리적으로파괴, 훼손하거나디지털증거를삭제할가능성이높으므로, 이를원래의상태로복구하는기술이필요함 파일시스템의영역 메타데이터영역 : 파일의이름, 만든이, 날짜, 크기등을저장 데이터영역 : 파일의실제데이터스트림저장 Meta Area Data Area 저장매체복구기술 물리적복구 : 저장매체의물리 / 전자적복구. 물리적또는전자적단 / 합선으로훼손된저장매체를정상상태로복구하는기술 논리적복구 : 삭제 / 훼손된파일및파일시스템을복구하는기술
파일시스템메타데이터기반복구 파일의메타데이터의 삭제플래그 를참조하여복구 파일삭제시데이터영역이나메타데이터영역을덮어쓰지않기때문에가능 다른파일로덮이지않았다면복구가능
파일시스템정보를얻을수없는경우의복구 파일시스템에서얻을수있는정보없이 파일자체정보 기반복구 즉, 파일의고유한특성이있는파일만복구가능 연속적으로존재하는파일에대한복구는대부분가능, 조각난경우는어려움 추출된파일이올바른파일이라는보장이없음 많은시간이소요됨
파일의 Header 와 Footer 정보 일부파일은파일의시작과끝을알수있는고유한 Header 와 Footer 를가짐 PDF, GIF. PNG, JPG, ALZ, ZIP, RAR, MPG
파일의 Header 와 File size 정보 일부파일은파일의시작과크기를알수있는정보를포함하고있음 DOC, ODT, ODS, BMP, AVI, ASF, WAV
파일이연속적이지않고조각난경우 조각난파일이생성되는이유 파일을저장할충분한연속공간이없을경우 기존파일에데이터가추가될때, 파일의후반부영역에할당되지않은영역의크기가충분하지않은경우 파일포맷의특성을이용한여러복구방안이연구중 Pattern Recognition, 통계분석등
데이터암호화 Zip, Rar 등과같은압축파일에암호화기법을적용하여, 증거확보를어렵게함 MS 오피스및한글파일등과같은문서를암호화하여, 정보를은폐하는데활용되고있음 정보은폐 문서및파일을암호화 증거확보의어려움
TrueCrypt - http://www.truecrypt.org 오픈소스디스크암호화도구 Windows XP/2003/Vista/2008, Mac OS and Linux 지원알고리즘 Algorithm Key Size(Bits) Block Size(Bits) AES 256 128 Serpent 256 128 Twofish 256 128 AES-Twofish 256; 256 128 AES-Twofish-Serpent 256; 256; 256 128 Serpent-AES 256; 256 128 Serpent-Twofish-AES 256; 256; 256 128 Twofish-Serpent 256; 256 128 Current Version TrueCrypt 6.1
TrueCrypt 기능 가상디스크암호화 : 파일형태의암호화데이터를볼륨으로가상마운트 스토리지암호화 : USB, Hard Disk 볼륨을암호화 OS 가설치된파티션암호화 복호화기능을가진 CD 로부팅하여인증 (pre-boot authentication)
TrueCrypt 암호화볼륨생성
TrueCrypt 암호화볼륨마운트
암호화된데이터는대부분사용자가입력한패스워드를키로사용 패스워드검색방법 사회공학적기법 사전공격 전수조사
전수조사기법의적용 모든문자열을대상으로선정하여, 검색을수행하는기법 암호화된데이터파일의패스워드를전수조사 Elcomsoft 社의 Password Recovery Tool 이대표적 패스워드길이가길수록검색시간은기하급수적으로증가! 더욱효과적으로상용암호를해독할수있는방법이필요하며, 사전구성을통한암호해독이대안으로써활용이가능
사전공격기법의적용 체계적인사전구축을통하여패스워드검색속도향상가능 빠른시간내에패스워드검색이가능하며, 전수조사기법보다효율적임 패스워드사전구축 상용암호에대한검색수행 검색의성능향상
멀티미디어파일분석 이미지, 동영상등의파일에은닉된데이터탐지하는기술 영상분석, 색상분석, 통계분석등사용 문서파일분석 MS Office, 한글등의파일에은닉된데이터탐지기술 저장형식분석을통해탐지
Steganography 메시지가전송되고있다는사실즉, 통신의존재를숨기는기술로서이미지및오디오파일과같은다양한디지털매체를통해메시지를은닉하여전송하는기술 모르는사람이보면평범한사진에불과하지만약속된수신자는그안에메시지를확인할수있는기술
Invisible Secrets 3 http://www.invisiblesecrets.com 지원데이터 BMP, JPEG, HTML, PNG, WAV Windows 95/98, NT, XP 지원 알고리즘 AES(Rijndael), RC4, Twofish, Cast128, Ghost, Diamond 2, Sapphire, Blowfish
Invisible Secrets 3 데이터은닉
Invisible Secrets 3 은닉데이터추출
파일시스템상에저장되는시간정보는변조가용이 응용프로그램에의해파일내부에저장되는시간정보는해당파일의 저장형식을알지못하면변경하기매우어려움 문서파일내부시간정보분석도구 : CFA
일관성분석 시간의연속성특성을이용 파일, 파일의메타데이터, 로그등이용 연관관계분석 서로다른이벤트사이의연관관계를밝히는분석방법 통계, 마이닝기법등사용하여둘이상의서로다른이벤트사이의관계를밝히는것
파일시스템 디스크드라이브에파일을저장하고탐색이용이하도록설계된관리시스템 FAT(FAT12, FAT16, FAT32, exfat), NTFS, HFS/HFS+, HPFS Ext2, Ext3, ISO 9660, ZFS, VxFS, Journaling file system, versioning file system 슬랙공간이란? Slack Space : 디스크에서뜻하지않게낭비되는공간 Sector(RAM) Slack : 섹터단위 (512 bytes) 로접근하는디스크의특성에따른낭비 File Slack : Cluster, Block 단위로저장되는특성에따른낭비 디스크
Anti-Forensic 에대한대응 프라이버시및개인정보보호라는긍정적인측면도있지만, 범죄자가범행직후증거를없애는용도로사용하는경우에는컴퓨터범죄수사에많은어려움을초래할수있음 Anti-Forensic 기술은앞으로도계속발전되고대중화될것이예상되며, 이에대응할수있는기술과정책적기반이필요함