kevin의 정보보안 블로그 kevin의 정보보안 블로그

디지털포렌식 증거 능력 요건1. 진정성- 분석하는 증거가 사건과 직접적인 연관이 있는가2. 원본성- 수집된 증거의 원보늘 제출해야함3. 무결성- 수집•제출•이관 중 원본 데이터에 대해 변형을 주면 안됨- ideal : 훼손될 경우 증거로서의 가치 X- reality : 컴퓨터는 켜져있는 매순간 데이터가 새로 씌어지며 변형됨. 하지만 서버와 같은 시스템에 대해 포렌식을 진행할 경우 시스템을 OFF 한 상태로 수집을 못하기에 현실적으로 무조건적으로 지키기는 힘듬- 무결성을 왜 지킬 수 없었는지에 대해 체계적으로 문서화 할 경우 인정 받을 수 있는 경우가 존재4. 신뢰성 - 기관, 사람, 도구- 여기서 도구는 특정 브랜드를 의미하지 않음(예: EnCase, DFAS 등등 상관 X)* 재현의 법칙 : 반복적으로..

MFTNTFS 파일 시스템의 가장 핵심적인 부분MFT는 파일에 대한 메타 데이터를 저장파일명, 크기, 생성/수정/접근 일자, 속성 등LiveResponseCollection 툴을 이용해서 추출 가능하며 MFT만 추출 원할 시 FTKImager 사용을 통해서도 추출 가능분석을 위해서 analyzeMFT 툴 이용 프리패치실제 파일이 생성되기 전에 생성되는 파일.pf 확장자를 가짐침해사고 조사 시 최초 실행된 시간을 조사하기 위해 사용MFT에서 확인 한 pf 파일의 Creation Date에 -10 초를 해야 최초 실행 시간여기서 -10 초의 이유는 파일 실행 후 약 10초간의 모니터링 진행 후 프리패치 파일이 생성되기 때문최근 HDD에서 SSD 사용 추세로 넘어가며 사용을 안하는 경우 존재Service에서 ..

프로세스 이상징후 식별 방법일반적이지 않은 경로와 이름을 사용하여 실행되는 프로세스가 존재하는가?Good :C:\WindowsC:\Windows\System32C:\Program Files, C:\Program Filles(x86)Bad :C:\Users\user\App Data\Local\Temp\임시 파일로 일반 적인 경로는 아님=리니지 분석리니지 분석프로세스의 부모 자식 관계가 일반 적이지 않은가?Services - svchost.exe (O)explorer.exe - cmd.exe (O)cmd.exe - powershell.exe (O), explorer.exe - powershell.exe (O)word.exe - cmd.exe - powershell.exe (X)explorer.exe - sv..

1. 이론1.1 악성 문서 파일의 일반적인 구성 요소악성 문서 파일은 일반적으로 익스플로잇, 쉘코드, 스크립트, 실행파일 등의 악성개체를 포함이러한 악성 개체를 포함해야 하는 악성 문서 파일들의 특성상 이상 징후 식별이 가능악성 문서 파일의 목표 중 하나는 쉘코드를 찾는 것이다익스플로잇을 찾는 것이 중점이 아님. 익스플로잇은 취약점을 이용하여 쉘코드를 실행시키는데 사용되는 도구일 뿐 공격자의 의도를 이해하기 위해선 쉘코드를 얻어 분석해야 함 1.2 악성 문서 파일 분석 절차파일의 포맷 확인악성징후 식별악성개체 식별 및 추출악성개체의 기능 분석여기서 분석 대상은 쉘코드, 스크립트, 실행파일(PE 파일)일 수 있음분석의 목표는 IOC 추출 1.3 악성 MS 오피스 문서 파일 트리아지를 위한 징후매크로를 포함..

1. 악성 HWP 문서 분석1.1 HWP 트라이지를 위한 징후OLE 스트림을 포함하고 있고 실행 파일을 포함하고 있는 스트림이 존재하면 악성 가능성 높음BinData 스토리지에 OLE 확장자를 가지고 있는 스트림이 존재하는지 확인HWP 파일의 압축을 푼 후 패턴 매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인포스트 스크립트를 포함하고 있는 스트림이 존재하면 악성일 가능성이 높음포스트 스크립트를 인터프립트 하기 위해 고스트 스크립트가 필요한글 파일에는 이러한 고스트 스크립트가 내장되어 있음PS 또는 EPS 확장자를 가지고 있는 스트림이 존재하는지 확인스트림 내용을 확인하여 정상적인 포스트 스크립트인지 확인동일한 내용의 스트림이 다수 존재하는 경우 악성일 가능성 높음동일한 사이즈의 스트림이..

1. 실습   Strings 툴을 이용해 쉘코드 내 존재하는 길이가 3보다 긴 문자열들을 추출하여 쉘코드가 어떤 동작을 하는 지 유추한다. 이후 scdbg.exe 툴을 이용하여 해당 쉘코드를 실제로 에뮬레이트 한다.  여기서 주의 해야할 점이 있다. scdbg.exe는 만능이 아니다.쉘코드에는 실행되기 위한 조건이 붙는다. 보통 쉘코드는 삽입된 악성문서 등에서 실행된다.하지만 우리가 실행하는 코드는 해당 악성문서 등에서 쉘코드를 추출해서 에뮬레티어 또는 가상 환경에서 따로 실행하는 것이기에 조건이 충족되지 않아 실행 불가 할 수도 있다.이러한 이유 때문에 최근 추출한느 쉘코드들은 scdbg를 이용해 API 동적 분석이 어렵다.그렇기에 분석을 진행하려면 디버거에서 쉘코드가 동작하기 위한 컨디션 체크 루틴을..

1. 실습 위의 파일들에 대해 YARA 룰셋을 이용하여 API 해시 매턴 매칭을 진행한다.* 분석 시 문자열 추출(Strings 같은 툴 이용) 해보고 유의미한 결과 얻지 못할시 API 해시 매치 시도하면 좋음  YARA 룰셋이 두개가 확인된다. 이전 강의 시간에 API 해시란 특정 API를 해시 함수를 이용해 해시화 한 것이란걸 말했다. 여기서 중요한건 같은 API라 할지라도 어떤 해시 함수를 사용하느냐에 따라 결과 값이 달라진다는 것이다. 그렇기에 apirule.yara 파일은 여러가지 해시 함수에 대한 결과를 가지고 있는 파일, api_hash_ror13add.yara 파일의 경우 ror13add 해시 알고리즘을 이용하여 API 해쉬화한 패턴들에 대해서 가지고 있는 파일이다. apirule.yara..

1. 쉘 코드의 셀프 바인딩1.1 바인딩스토리지에 있는 실행파일이 메모리에 매핑됨이 매핑은 로더가 해줌로더는 실행파일에 있는 Import 정보를 분석함이 Import 정보 안에는 실제 DLL 이름과 함수의 이름들이 존재이러한 정보를 이용해 실행 파일이 필요한 라이브러리들을 같이 로드라이브러리에 대한 정보가 뭔지 알려면 Import 정보 분석을 해야함실행 파일이 일을 하기 위해선 함수를 호출해야 하는데 실행 파일도 처음에는 필요한 함수의 위치를 모름그렇기에 실행 파일이 스토리지에 존재할때 IAT(Import Address Table)에 함수의 이름을 포인팅하는 주소값을 넣어놓음메모리에 매핑이 된 후 로더에 의해서 실제 IAT가 재구성이 됨(오버라이트)함수의 이름을 포인팅 -> 실제 API 주소를 포인팅위 ..