포렌식

 

컴퓨터 포렌식(computer Forensic)

 

정신재연무,

사고대응/정보추출

보관사슬,

스마트TV포렌식

 

[개념] 사이버범죄에 대한 법적 증거자료 확보를 위해 시스템,N/W,가상공간의 자료가 법적 증거물로써 법원에 제출할 수 있도록 하는 일련의 절차[기본원칙] 정당성, 신속성, 재현, 연계보관성, 무결성

[유형] 사고대응,정보추출

[분석대상에 따른 분류] 디스크, 시스템, N/W, 인터넷, 모바일, 암호, 회계, 전자메일, 소스코드, DB, 멀티미디어

[기술]

1)수집:디스크 이미징/메모리덤프,무결성(해시,MD5)

2)분석:Timeline 분석,삭제파일복구,비정상파일검색/이메일검색/슬랙공간분석/암호복구/덤프메모리분석/수치자료 정합성분석

 

보관사슬(Chain of Custody)

증거의 사용,유지,전달 및 수정에 대한 상세문서화

증거의 무결성과 높은 신뢰를 요구하는 법적 요건을 충족시키기 위해 필요

 

디지털 포렌식

 

전자적 증거물(디지털 증거물), 법정 증거, 5원칙, 절차

 

 

[개념] 디지털 매체로부터 법적 증거물 확보를 위한 절차

디지털 증거물을 수사에 활용하고, 디지털 증거물의 증거 능력을 향상시키기 위한 과학 수사기법을 총칭하는 용어

 

[원칙]정당성의 원칙/재현의 원칙/신속성의 원칙/연계보관성의 원칙/무결성의 원칙

[절차] 수사준비/증거물획득/보관및이송/분석및조사/결과보고서작성

[증거획득]디스크 이미징/메모리 덤프/무결성 입증/용의자시스템조사/정보 시스템 정보 수집

[보관이송]복사본 작성(쓰기방지장치 (FastBloc))

[분석] Timeline 분석/삭제된 파일복구/비정상파일검색/이메일 분석/슬랙공간 분석/암호복구/은닉 데이터검색/탐지/덤프메모리분석

 

[절차] (1) 데드시스템(정지)

: 저장매체조사 - 매체분리 - 이미지획득 - 별도운영체제구동 - 주요증거수집 [저매이별주 분보]

- 분석 - 보고서작성

(2) 라이브시스템(동작)

: 저장매체조사 - 포렌식툴결정 - 휘발성저장매체취득 - 비휘발성저장매체취득 - 주요증거수집 [저포휘비주 분보]

- 분석 - 보고서작성

 

지능형 상황인식

 

영상 수집, 물체 탐색, 물체 검출/분류, 물체 추적, 이벤트 탐지

 

[개념] 단일화 된 상황이 아닌 다양한 환경에서 물체를 추출/식별하고, 추적 등의 필요한 후속조치를 수행하는 기술

[단계] 영상 수집, 물체 탐색, 물체 검출/분류, 물체 추적, 이벤트 탐지

[기술] 1)수집: 카메라 2)탐색: 배경차분, 장면차분(영상 픽셀차)

3)검출/분류:FEST,SHIFT,SURF(물체 구분)

4)추적:RGB, 윤곽선, 형판기반(미리학습) 5)이벤트 탐지: 상황인지

 

 

디지털 영상 포렌식

 

선형변환,영역복제,크기변화,색상,압축,병합

 

[개념] 영상 고유의 통계적 특성을 통해 주어진 영상에 가해진 의도, 비의도 변형을 탐지하는 기술

[탐지기술] 선형변환,영역복제,콘텐츠 적응적 크기변화,색상변화

1)선형변환:확대,회전, 보간영상 이차 미분값 주기성,선형 변환 행렬 탐지

2)영역복제:변조,합성, 특징점 추출통한 매칭, 모멘트 회전 불변성, SIFT알고리즘

3)콘텐츠 적응적 크기변화:Seam-Carving, Seam-Insertion

4)색상변화:CFA 패턴내 R,G,B 영역탐지

5) 샤프닝, JPEG 압축, 영상 병합

[CCVT 영상 저작물 증거능력] CCTV, 차량용 블랙박스

[저장매체] SD 메모리등 한정된 용량 휘발성 저장매체

[수집절차] 종류,설정정보/통신차단/동영상파일추출/하드웨어제품정보기록/추출파일 해쉬값 계산,기록,확인,보관

[분석절차] CCTV수집,분석환경구축,파일복구,파일분석,증거획득,세부사항기록

 

[수집문제점] 휘발성, 개인프라이버시침해(증거선별수집),CCTV 관리자도움(현장확인 형사소송법 제 106조)

[관리문제점] 파일이동 무결성 훼손우려(방식,범위, 보관, 폐기 모호)

[수집/관리 개선방안] 증거파일 해쉬값 계산 앱(폴-해쉬),교육

[법적 개선방안] 고지절차, 증거보전 절차, 관리주체,법적절차, 이용 목적별 구분, 수집 방법 구분,증거능력 확보방안

 

슬랙 분석(Slack Space)

 

램,드라이브,파일,볼륨

 

[개념] 물리구조,논리구조 차이로 인해 발생되는 정보은닉 가능공간

[단계] 수집, 분석 (크기, 위치 검사 통한 디스크 물리주소 파악)

[대상] 램슬랙, 드라이브 슬랙, 파일시스템 슬랙, 볼륨 슬랙

[분석] 1)램 슬랙(sector 내 user slack, ram slack, drive slack)

2)드라이브 슬랙: 클러스터 사용 낭비공간 (클러스터 = n * 섹터)

2)파일 슬랙: 파일시스템 마지막 부분

3)볼륨 슬랙: 볼륨 크기, 할당된 파티션 크기차이

 

 

스테가노그래피 (Steganography)

 

Cover File(Data Hide), 스테레오 파일

JPEG, RGB, PDF, 실행파일

 

[개념] 디지털 매체(이미지파일, MP3, WAV)에 정보를 암호화하여 숨기는 기술

[특징] 시그니처 DB 유지, 연관분석(생성시간, 크기, 체크섬), 육안 식별 불가능

[단계] 탐지,추출,복호화

[생성] Cover File(Data Hide)>스테가노그래피>스테레오 파일

[기법] JPEG, RGB, PDF, 실행파일

1)JPEG EOF: HTML, JPEG

2)RGB 하위비트 수정: Stool, ImageHide

3)PDF 삽입,대체: wbStero4Open

4)실행파일: 바이너리 코드 역분석, Hydan

 

[단점] 다량 데이터 은닉 제한

[포렌식] 통계적 분석방법, 패스워드 무차별 대입

 

 

모바일 포렌식

 

JTAG,SYN통신,메모리직접접근

SW접근 - 상용포렌식 Tool

현증수보

J플신쏘

 

[개념]스마트폰에 대한 법정에서 증거로서의 증거능력을 갖게하기위한 법률적/수사적/기술적 분석과정 및 절차

[스마트폰포렌식데이터] 앱 기준(기본, 사용자 설치)

[절차] 현장보존-증거확보-수집/분석-보고서작성

[데이터] 연락처,통화목록,문자,캘린더,이메일,웹히스토리,gps데이터,IMEI(모바일식별코드),IMSI(이동국식별번호,USIM고유번호)

[기술]

1)JTAG(하드웨어 칩 디버깅위한 인터페이스, CPU를 제어하여 데이터 추출)

2)플래시 메모리 직접추출(휴대폰고장.심각훼손시 사용)

3)SYN통신추출(각 회사별 지원 프로토콜이용)

4)소프트웨어 접근방법(상용포렌식 툴킷 이용, 휴대폰특화 데이터케이블과 전용 디바이스 드라이버 필요)

 

[어려운 이유] HW 차이, 모바일 OS, 모바일 플랫폼 보안기능, 부족한 자원,장치 일반상태(백그라운드기법), 안티포렌식, 증거동적속성, 계획되지않은초기화, 통신차폐, 악성프로그램

[데이터추출]

[논리적추출] (+)데이터추출속도 (-)파일시스템 관리정보만 수집가능

-추출방법: *안드로이드 : 1)메모리파티션확인 2)루팅  *iOS : 1)탈옥 2)iTunes 이용

[물리적추출] (+)시스템데이터,펌웨어,슬랙공간 추출가능 (-)소요시간, 비용

 -추출방법 : 운영체제명령어사용 비트단위 추출, JTAG포트, 메모리분리, Flasher box, Boot Loader이용

 

네트워크 포렌식

 

타겟형, 모듈화, 암호화, 다형성, 제로데이

크로스플랫폼, 전수저장, 메타데이터

 

[개념] 기업내 모든 트래픽을 실시간으로 저장, 분석하여 추적성 확보와 선제적 차단을 수행하는 포렌식 기법.

[특징] 기존 보안솔루션의 한계 극복, 디지털 증거 확보 -> 악성코드 탐지 개념으로 확장(적극적인 방어수단)

[프로세스] 정보수집, 융합,식별,조사,분석,보고

[기법] TCP Dump, Wireshark, Snort, TCP Flow, TCP Relay, TCP Trace, NetFlow, TCP Stat

 

 

클라우드포렌식

 

악성코드 진단 엔진,DB

 

[개념] 법적 효력이 있는 증거물을 생성, 클라우드 행위자(클라우드 서비스 제공업체, 소비자, 브로커, 감사자 등)와의 소통을 통해 내부 및 외부 수사를 원활하게 만드는 행위

[특징] 분산처리, 재판관할권, 수사복잡성/수사소요시간 증대, 가이드부재, 법적 제약성

[서비스 모델별 포렌식]

1)IaaS: 스냅샷 기능, VMM 정보 (메모리,자원접근)

2)PaaS:개발 플랫폼 API (시스템 종속 DB,Storage)

3)SaaS:클라이언트 시스템

[기술]

1)행위분석: 다양한 소스 증거 획득,분석(연관성,직관적,프로파일기반 자동화), 평판기반 탐지(사전 방어, 평판조건)

2)포렌식서비스:대용량 고속처리 분산/병렬 플랫폼, 다양한 장비,도구수용, 이동성 및 접속 편의성 보장

 

[문제]

1)기술적: 복잡성,소요시간,유효수사방법부재

2)법적:재판관할권,책임소재이슈,e-discovery 의무화

3)절차상:가이드 부재

[해결]

1)기술적:백업환경,데이터복구,압수수색

2)법적:책임여부 법제화,국제법 공조, 법적 증거 유효/무결성 보장 포렌식 절차,기술

[고려]

1)데이터 수집이 아닌 정보 획득 통한 행위 중심 분석

2)여러 소스 데이터 통합 -> 수용 가능 FW

3)포렌식 도구 -> 포렌식 서비스 확장

4)이동성, 접속 편의성 필요

5)휘발성 증거에 대한 수집 및 제3자 증명필요

 

공공 클라우드 포렌식(Forensic)

 

서비스 사용여부 확인, 사법관할권 내/외 여부, 클라우드 시그니처 탐지 개념(서비스 사용여부), 클라우드 시그니처 탐지 도구 종류

 

[개념] 공공 클라우드 컴퓨팅 환경에서 이루어지는 범죄 행위에 대한 법적 증거자료 확보를 위하여 컴퓨터 시스템, 네트워크, 가상 공간의 자료가 법적 증거물로서 법원에 제출할 수 있도록 하는 일련의 절차 및 방법

[환경특성] 정보위탁,자원공유,네트워크 접속,단말 다양성,가상화환경

[보안위협] 서비스장애확산, 하이퍼바이저 공격,멀티테넌시 환경 정보유출, 보안책임 및 정책 복잡화, 악성코드 감염 및 확산

[필요성] 기존 포렌식 한계>최신기술대응,디지털증거수집,통합증거법률

[조사절차] 조사수행>로그인>사법관할권파악>접속>수집>분석>시그니처분석

[조사활동] 1)공통:시그니처 분석

2)로그인 정보:ID/PW 존재여부, 사용자 데이터 수집, 사용자 데이터 분석

 

[가상머신 감시항목]

1)CPU:호스트 OS와 가상 OS의 CPU 사용량 측정

2)Memory: 프로세스에 의한 메모리 사용량

3)Disk:Disk의 사용량 점검 및 R/W 부하 검사

4)Port:인가되지 않은 포트의 개방 여부 확인

5)I/O:호스트 머신과 가상 OS의 통신 네트워크

트래픽 검사

 

클라우드 시그니처(Cloud Signature)

 

온라인 연결 클라이언트 수집정보

 

[개념] 해당 시스템에서 클라우드 컴퓨팅 서비스를 사용했다는 증거가 될 수 있는 데이터

[탐지도구 목적] 클라우드 컴퓨팅 서비스의 사용 여부 판단

[탐지] 포렌식 기법(파일시스템 ,웹 브라우저,레지스트리),서비스로그 분석

[기술]

1)평판시스템:특정파일 판정 정보 수집 통한 분석

2)행동 기반 진단:행동기반 엔진 기반 분석

 

[포렌식 과제]

1)기반구조:전문인력부재,교육과정미흡

2)기술개발:전문도구부재,신기술미적응

3)법제도:증거개시제도,국제포렌식 규약

[활성화방안]

1)기반구조:전문인력양성,교육자격개발

2)기술개발:전문도구개발,신기술 테스트베드

3)법제도:디지털 증거법 제정,국제공조체계

 

안티 포렌식

 

 

[개념] 일반적인 사이버 범죄 기술과 더불어 디지털 포렌식 기술에 대응할 수 있는 기술, 디지털 포렌식 수사에 의해 증거가 발견되지 않도록 하기 위한 기술

[기술]

•데이터 삭제:데이터영구 삭제/하드 디스크및 파일 와이핑(중복덮어쓰기)/증거데이터 자동삭제

•데이터 은닉:스테가노 그래피/Slacker/FragFS(NTFS NFT (Master File Table) 데이터 은닉)/RuneFS(Bad Block)/Waffen FS(Ext3 저널파일)/KY FS(디렉토리파일)/Data Mule FS(I-node)/Host Protected Area Device Configuration Overlay(HPA,DCO 영역)

•데이터 변조:암호화/데이터조작

 

[대응기술]

- 스테가노그래피탐지 : 통계적분석,패스워드Brute-Force,상용SW사용

- 은닉데이터탐지 : 포렌식툴사용,물리적주소,슬랙주소유추->섹터정보검색

- 데이터복구 : 데이터카빙 [헤램파,파시엔]

- 패스워드크랙 : 사회공학공격,Dictionary Attack, 무작위공격

* 와이핑도구 : File shredder, ishredder, iDelete

* 암호화도구 : iCrypter, iTreasure

 

데이터 카빙(Data Carving)

 

포렌식기법, 비할당영역, 연속/비연속

시그니처기반, 연비헤램파 / 파시엔

 

[개념] 파일시스템의 정보없이 자체 파일 포멧이 가지는 고유한 특성을 이용하여 비할당영역에서 파일을 추출하는 기법

[기법] 1)연속적 데이터 카빙 - 헤더/푸터, 램슬랙 카빙, 파일크기 카빙

2)비연속적 데이터 카빙 - 파일조각화 비율, 시그니처 기반, 엔트로피 이용

[활용분야] 1)디지털 포렌식 2)데이터 복구

 

[데이터 복구와 카빙의 비교]

- 파일시스템은 삭제시 데이터 영역이나 메타데이터 영역을 덮어쓰지 않고 Flag만 수정

- 디스크에 쓰여진 각 파일의 포멧별 데이터 시그니처를 이용(header, Footer)

 

E-Discovery

 

특허분쟁, 전자정보 증거, ICM, 아카이빙

 

[개념] 소송 또는 규제 요구에 대응하기 위해 종이 또는 디지털형태로 존재하는 기업 컨텐츠를 수집, 준비, 검토, 구성, 생산하는 절차

[참조모델] 규정,수집,처리

[활용] 협업업무 진행,법적소송,특허분쟁,전자정보증거

 

 

기업 포렌식

 

규제준수, 적용경계인식, 경영목표일치

사실관계 규명요구악성코드저작권에 대한 회계감사 침해사고

 

[개념] 기업내 업무에서 사실관계 규명이 요구될 경우 디지털 포렌식 기술필수

[유형]침해사고포렌식,악성코드포렌식,저작권포렌식,감사포렌식,회계포렌식

[사용기술] 1)수집 - 디스크 이미징, 메모리덤프, 무결성입증

2)분석 - time line분석, 파일복구, 비정상 파일검색, 이메일 분석, 슬랙공간 분석, 암호복구, 덤프 메모리 분석, 수치자료 정합성

 

[고려사항]

영장,수사권에 근거한 포렌식 아니므로 분석/검증 과정에서 대상선정 한계를 명확히 해야함

법률 기관의 규제에 근거해 법적 조치 의무 다해야함

 

http://jeongchul.tistory.com/346

16 디지털 포렌식의 개요

https://www.boannews.com/media/view.asp?idx=114885&kind=0 

‘숨기려는 자’와 ‘찾으려는 자’의 피말리는 승부수... 포렌식 vs. 안티포렌식