[포렌식] 4주차 - 안티 포렌식

(2021.01.29)

 

포렌식 스터디 4주차에는 책의 6장 안티 포렌식에 대해 공부했다.

툴에 대한 소개가 많았던 챕터인 듯하다.

 

 

book.naver.com/bookdb/book_detail.nhn?bid=7007687

이제 시작이야! 디지털 포렌식

참고도서: 이제 시작이야! 디지털 포렌식

---

 

| 안티 포렌식

안티포렌식: 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 거의 불가능하게 만드는 것

 

Anti-Forensics.com 은 안티 포렌식의 전문적으로 다루는 웹 사이트 중 하나이다.

--> 컴퓨터 포렌식 수사나 포렌식 조사관을 좌절시키는 데에 사용할 수 있는 방법, 툴 정보를 공유하는 사이트

www.anti-forensics.com/

Anti-Forensics - Rendering Investigations Irrelevant

 

 

| 데이터 은폐

은폐기술에는 파일 이름/확장자 변조, 관계 없는 디렉터리에 파일 숨기기, 파일 속에 파일 숨기기, 암호화 등이 있음

파일 속에 파일 숨기기, 암호화가 주로 해결하기 어려움

 

 

 

암호화

: 데이터를 암호문으로 변환하여 승은을 얻지 못한 사람들이 데이터를 쉽게 볼 수 없도록 하는 것

 

평문: 원본 텍스트. 암호화 알고리즘을 적용하여 암호문을 생성함

--> 암호문은 평문을 뒤섞어서 쉽게 이해할 수 없는 형태로 변환하는 것임

 

알고리즘: 메시지를 암호화하는 데 사용하는 방법

키(Key): 정보를 암호화하고 복호화하는데 사용하는 데이터

 

 

 

난독화

: 특정 데이터나 텍스트를 더욱 이해하기 힘들게 만들기 위해 사용됨

난독화는 데이터 자체보다는 컴퓨터 코드를 보호하는 데 사용됨

--> 암호화는 난독화와는 다르게 컴퓨터가 코드를 이해할 수 없게 만듬

 

 

 

알고리즘

 

대칭 암호화: 하나의 키로 데이터를 암호화하고 복호화함

비대칭 암호화: 두개의 서로 다른 키를 사용하여 데이터를 암호화하고 복호화함

 

AES, TripleDES, Blowfish, RSA 같은 암호화 알고리즘이 있음

알고리즘 자체는 공개되어있어야 함

 

 

 

키 공간

: 특정 암호화 알고리즘의 강도의 측정 기준으로 사용되는 것 중 하나

키 공간 또는 키의 길이는 암호를 크랙하는 데 직접적인 영향을 줌

 

 

 

암호화의 예

 

윈도우의 비트락커(BirLocker), 애플의 파일바울트(FileVault) 

암호화 프로그램은 파일이나 폴더를 암호화하는데 사용할 수도 있고, 드라이브 전체를 암호화하는 데 사용할 수도 있음

 

▷ 암호화 파일 시스템

: 파일과 폴더를 암호화하는 데 사용됨

암호화 파일 시스템은 윈도우의 사용자 이름과 비밀번호를 암호화 알고리즘의 일부로 사용함

암호화 파일 시스템은 윈도우 운영체제의 기능이 아닌 NTFS 의 기능임

 

 

▷ 비트락커

: 파일과 폴더 뿐만 아니라 전체 하드 드라이브를 암호화하는 데 사용할 수 있음

비트락커 투고 는 USB 드라이브와 같은 이동식 매체를 암호화함

비트락커는 독립적으로는 작동하지 않음

--> TPM이라는 하드웨어와 함께 작동함

  TPM은 노트북이나 PC의 마더보드에 있는 마이크로 칩으로 암호화 기능을 제공함

  TPM으로만 복호화가 가능한 키를 생성하고 암호화함

  TPM 없이 작동 시키고자 한다면 키를 USB 드라이브에 저장함

 

비트락커의 암호화는 키 없이 복호화가 거의 불가능함

컴퓨터가 실행 중이라면 비트락커를 공격하지 않고 데이터를 복원할 수 있음

 

 

▷ 애플 파일바울트

: 128 비트 AES 암호화 알고리즘을 사용하여 드라이브 전체를 암호화함

애플은 고객이 자사에 복원 키를 저장할 수 있도록 함

애플에 저장되어 있는 키는 합법적인 검색 기관이 적법한 절차를 거쳐 압수할 수 있음

 

 

▷ 트루크립트

: 무료 오픈소스 소프트웨어, 실시간 암호화 기능을 제공함

실시간 암호화에서는 데이터가 열리면 자동으로 복호화되고 데이터가 저장되면 자동으로 암호화됨

--> 암호화와 복호화 과정이 모두 자동으로 진행됨

 

전체 디스크 암호화 기능도 있음

--> 모든 파일의 내용을 암호화할 수 있음

--> 시스템이 자체적으로 생성하는 민감한 데이터를 저장하고 있는 파일도 암호화할 수 있음

--> 민감한 파일: 로그 파일, 스웝 파일, 레지스트리 항목 등

 

복호화를 위해서는 정확한 비밀번호와 키 파일이 필요함

AES, Serpent, Twofish 그리고 이 세개를 조합한 것 등의 암호화 알고리즘을 사용할 수 있음

키 공간은 256비트임

윈도우, 맥, 리눅스에서 실행할 수 있음

 

 

 

 

 

| 비밀번호 크랙

 

비밀번호 크랙은 어렵거나 혹은 아예 불가능함

 

1. 무차별 대입 공격

2. 딕셔너리 공격

3. 비밀번호 재설정

 

대표적인 비밀번호 툴: AccessData 의 Password Recover Toolkit (PRTK) 

accessdata.com/product-download/password-recovery-toolkit-prtk-version-7-6-0

Password Recovery Toolkit (PRTK) version 7.6.0

 

무차별 대입 공격

- 최대한 많은 컴퓨터 파워를 사용하여 정확한 비밀번호를 추측하는 것

 

 

비밀번호 재설정

- 비밀번호를 재설정할 수 있게 해주는 취약점을 노려 필요한 접근권한을 획득할 수 있음

(취약점이 항상 있는 것은 아님)

- 비밀번호 재설정은 SAM에 있는 데이터를 덮어쓰는 것으로 가능함

- 비밀번호 재설정 툴: Elcomsoft 의 System Recovery

 

 

딕셔너리 공격

- 단어를 수집해여 정확하게 공격하는 것임

- 할당된 공간과 할당되지 않은 공간에서 수집한 단어임

- PRTK 를 이용해서 비밀번호를 조합함

 

 

 

 

| 스테가노그래피

: 일반 메시지에 비밀 메시지를 숨기고 최종 목적지에서 비밀 메시지를 볼 수 있는 것

 

완성된 스테가노그래피 파일은 2개의 파일로 구성되어있음

1. 호스트 파일(carrier 파일): 비밀 메시지를 저장하고 있는 파일 --> 동영상, 사진, 오디오, 문서파일

2. 페이로드: 호스트 파일 안에 숨겨진 비밀 문서

 

동영상, 사진, 오디오 같은 파일에는 상당한 양의 불필요한 데이터가 있음

--> 노이즈(noise) 라고 부름

불필요한 부분을 은폐된 메시지 데이터로 교체함

 

 

 

 

 

| 데이터 파괴

 

드라이브 와이핑

: 하드 드라이브에 있는 데이터가 복원될 수 없도록 데이터를 덮어쓰는데 사용함

 

모든 데이터가 삭제되는 것은 아님

지정한 파일만 삭제하고 나머지 파일들은 그대로 놔둠

늑정 파일과 폴더, 윈도우 레지스트리 같은 잠재적으로 증거가 발견될 수 있는 시스템 값을 삭제함

 

와이핑 툴에는 

Darik's Boot and Nuke

DiskWipe

CBL Data Shredder

Webroot Window Washer

Evidence Eliminator 

등이 있음