2022. 3. 16. 02:10ㆍ0x0C Forensic/IR
2020년 02월 03일 Podrick으로부터 사건 의뢰를 전달받았다. 그의 동료 Theon G가 USB를 이용하여 자신의 정보를 훔쳐갔다는 의심을 하고 있다고 한다. 하지만, Theon G는 Aria를 만나러 사무실을 방문했을 뿐이고, Aria가 부재중이라 하릴없이 사무실을 나서는 와중에 Podrick과 마주하게 되었다고 한다.
Podrick은 의심되는 USB의 Serial 번호를 조사해달라고 의뢰하였다. Podrick이 의심하는 시각은 점심 시간이 포함 된 오후 12시이다.
사고 조사 분석 결과, Podrick의 컴퓨터에 접근한 USB기기는 2개였다. 하지만, 하나는 VMware Disk Device이기 때문에 조사 과정에서 생략하였다.
기기에 대한 정보는 아래와 같다.
| USB 정보 | |
| Vendor | Sandisk |
| Product | Cruzer Blade |
| First Connected Time (UTC) | 2/3/2020 12:12:31 PM |
| Last Connected Time (UTC) | 2/3/2020 12:44:21 PM |
| Last Disconnected Time (UTC) | 2/3/2020 12:45:00 PM |
용의자는, 2번의 접촉을 시도했으며 2020년 2월 3일 12시45분에 USB를 추출하였음을 확인할 수 있었다. Podrick은 조사관에게 Amcache.hve 파일을 전달해주었으나, LOG 파일이 현존하지 않아 데이터 추출에 실패하였다. 이에 조사관은 Podrick에게 2020년 02월 03일 오후 12시 12분 31초를 기준으로 2020년 02월 03일 오후 12시 45분까지 파일 변경 이력이 있는지 살펴봐라고 권고하였다.
침해사고 분석을 위해 사용된 도구는 AmcacheParser, Registry Viewer, USB Detective(Free version)이다. 그러나, AmcacheParser의 경우 LOG 파일의 미존재로 인해 정상 동작 하지 않았다.
Self Question: Amcache.hve 파일은 소유하고 있으나, Amcache.hve.LOG1과 Amcache.hve.LOG2 파일은 소유하고 있지 않을 때 Podrick은 범인이 훔쳐간 파일의 존재를 확인할 수 있는가?
Self Answer:
1. 조사관 PC의 Amcache.hve, Amcache.hve.LOG1, 그리고, Amcache.hve.LOG2 파일을 AmcacheParser에 이용해보았을 때, DevicePnPs sector에는 제조사 명, 드라이브 ID 등만 추출될 뿐 어떤 파일이 이동 및 삭제 되었는지에 대한 로그는 추출할 수 없었다.
2. Unassociated sector의 경우, C드라이브에서 실행 되었던 응용프로그램들은 식별되나, USB, External SSD를 통해 실행한 파일에 대한 정보는 찾을 수 없었다.
3. DeviceContainer sector의 경우, motiner, printer, audio, storage등과 같은 범주로 나뉘어 자료가 보관되었으며, USB나 External SSD과 직접적으로 연관 있는 파일 경로는 식별할 수 없었다.
4. DriveBinaries sector의 경우, Windows OS와 연관있는 sys 파일 목록만 열람할 수 있었다.
5. DriverPackages sector의 경우, 범주가 softwarecomponent, system, extension, media, Bluetooth 등으로 나뉘어져 정보를 공유하고 있으나, USB나 External SSD와 연관성을 찾을 수 있는 데이터는 존재하지 않았다.
6. ShortCuts sector의 경우, 바로가기 링크를 소유하고 있는 파일 리스트를 열람할 수 있었다.
결론적으로, Podrick은 용의자가 가져간 파일을 제한 된 환경(‘Amcache.hve’, ‘DEFAULT’, ‘NTUSER.DAT’, ‘SECURITY’, ‘SOFTWARE’, ‘SYSTEM’)만으로 식별할 수는 없다.
Podrick은 이 같은 사고를 또 당하지 않기 위해, 부재 시 컴퓨터의 화면을 잠금으로 유지하고 외출을 해야한다. 뿐만 아니라, 회사 내에서 보안을 위해 USB 사용하지 못하게 레지스트리 설정 값을 변경해두는 것을 권고한다.
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
o Start: 4(Locked) / 3(Unlocked)
'0x0C Forensic > IR' 카테고리의 다른 글
| [Challenge] Find Frog - incident-response-challenge.com (0) | 2022.03.24 |
|---|---|
| [Challenge] Insurance - incident-response-challenge.com (0) | 2022.03.19 |
| DB (0) | 2022.03.16 |