TRACE

https://padlet.com/yerim999/tgf0wzcq63foh5vc/wish/2232256887

• centos3이 nfs서버와 samba서버 모두 운영하는 상황

https://padlet.com/yerim999/tgf0wzcq63foh5vc/wish/2231877018

• 서버 종류

• Linux 파일 공유

• 파일 공유 과정(서버)

• 접속

디스크 메모리 공간 나눔 = "Partition" (EX) 하드디스크 파티션 os(C:/), data(D:))
파티션 후 포맷!(파티션마다 포맷 방식이 다를 수 있음)

윈도우 포맷 방식 : FAT(얇게) / NTFS(깊게) / ReFS(가상화 솔루션 사용 시)

Default 사용자(가장 강력한 계정. 기본적으로 우분투는 Disable 처리)
- Linus : root
- Windows : administrator
- DB : sa(system administrator)

암호 생성 시 기본 8자 이상. 소문자, 대문자, 특수문자, 숫자 중에서 3개 이상 조합

IP 확인 명령어
- hostname -I
- ip addr show


repo : 저장소
- yum repolist : 저장소 목록 확인


깔아야 하는 패키지 목록
1. epel-release
2. net-tools
3. bind-utils
4. wget

- yum update -y : 패키지 최신으로 업데이트

- shutdown -h now : (-r:reboot) 종료

-----수업-----
hostname 변경해서 컴퓨터 구분
- vi /etc/hostname
- dd : 줄 삭제
- i : insert
- ZZ : 저장 후 나오기

locale
vi ~/.bashrc 마지막 줄에 LANG=en_US.UTF-8 쓰고 저장

파일 구조 보는 패키지
- yum install tree -y

파일 취급
Windows : 바로가기
Linux : Symbolic Link(soft link(◁), hard link)

파일 종류 파악
- file "파일"

디렉터리 계층 구조
/ root(절대)
. 현재 디렉토리(상대)
.. 상위 디렉토리(상대)
~ home

디렉토리 이름 규칙
파일과 디렉터리 이름을 마침표(.)로 시작하면 숨김파일~! 

디렉토리 내용 보기
- ls(list)
- l : 자세히
- a : 숨김 파일까지 모두 확인. all / 대문자 A 쓰면 .이랑 .. 안보임
- F : 파일 종류 표시
- r, R : 하위 디렉토리까지 모두 확인. recurse, reverse 
- --sort=사이즈 : 정렬

- mkdir : 디렉토리 생성 (-p 옵션 : 하위 디렉토리까지 한꺼번에 생성)
- rmdir : 디렉토리 삭제 (하위 파일 삭제 불가) → 이거보단 rm -rf 사용이 좋다
- rm : 파일 삭제
- rm -f : 사용중인 파일 삭제
- rm -rf : 디렉토리, 파일 삭제(recurse 하위까지 한번에 삭제 가능)


파일 내용 연속(여러개) 출력
- cat (concatenate)
(-n : 줄 번호 표시 / tac : 역순 출력 / > : 파일 내용 작성 가능, ENTER 치고 Ctrl+D / >> 기존 파일에 첨부)

파일 내용 화면 단위로 출력
- more
(-숫자 : 숫자만큼만 출력)
- less : more과 똑같음

파일 뒷부분 출력
- tail 
(기본적으로 10개의 줄 출력, -n 숫자 : 숫자만큼 뒷부분 출력, -f : tail명령 무한 반복)

/var/log : 로그 파일 저장
/var/log/yum.log : 최근 설치 프로그램
/var/log/apt/history.log : 최근 apt-get 명령어 확인

파일 복사(복사 시 대상 폴더에 쓰기 권한 있어야 함)
- cp
(-r : 하위까지 몽땅 복사, 디렉토리 복사)

링크 생성
- ln
(Hard link. inode 번호가 같음. 삭제 시 다른 하나도 작업할 수 없음) 
- ln -s
(Symbolic link. 원본 파일과 다른 파일. 삭제 시 다른 하나 작업 가능)


파일 생성
- touch : 내용이 없는 파일 생성. 여러개 함께 생성 가능, 기존 파일에 대해 수정하지 않고 수정 시간을 바꿀 수 있음
(find . | xargs touch : 현재 디렉토리 모든 파일의 수정 시간을 똑같이 맞춤)
(ex) find ./ -name ‘*.jsp' | xargs touch)

+) 기존 파일 Time Stamp 정보 확인 - stat (Access, Modify 시간 확인 가능)
- touch -a "파일" → Access 시간 수정 
- touch -m "파일" → Modify 시간 수정
- touch -t "년-월-일-시-분-초" "파일" → 특정 시간으로 access, modify 시간 변경


텍스트 파일 내용 검색
- grep : 파일 열지 않고도 검색 가능
(-name : 이름 , -user : 사용자)

명령어의 경로 찾기
- which "명령어"

표준 입력 값 처리☆
- 명령어1 | xargs 명령어2
(앞 명령어 계속 사용. 명령어1은 주로 find, 뒤는 주로 grep, rm, cp)

디지털 정보의 선별적 압수, 수색

: 디지털 증거의 확보는 모든 형사사건의 성패를 좌우하는 필수 조건

: 디지털 증거와 유체물 형태 증거의 차이로 압수, 수색 절차나 증거 능력 요건이 다를 수 밖에 없음

※원칙

혐의 사실과 관련된 전자정보만을 문서로 출력하거나 복제

※ 방법

1. 관련 데이터만 습득(현장에 있는 정보저장매체 등에서 관련 데이터만 복사하거나 종이로 출력하는 방법)

2. 저장매체 전체의 사본 확보(증거사본 확보 후, 수사기관의 사무실에서 관련 데이터를 검색하여 복사 또는 출력하는 방법)

3. 정보저장매체 자체를 확보(수사기관 사무실에서 저장매체 전체를 이미징하여 증거사본 확보 관련 데이터를 검색하여 복사 또는 출력하는 방법. 원본은 반환)

※ 복사본 형태로 반출하는 경우

- 피압수자 등이 협조하지 않거나, 협조를 기대할 수 없는 경우

- 혐의 사실과 관련될 개연성이 있는 전자 정보가 삭제, 폐기된 정황이 발견되는 경우

- 출력, 복제에 의한 집행이 피압수자 등의 영업활동이나 사생활의 평온을 침해하는 경우

※ 원본 반출이 허용되는 경우

- 집행 현장에서의 하드카피, 이미징이 물리적, 기술적으로 불가능하거나 극히 곤란한 경우

- 하드카피, 이미징에 의한 집행이 피압수자 등의 영업활동이나 사생활의 평온을 현저히 침해하는 경우

※ 데이터 분류 목적

01. 데이터 선별 (조사에 필요한 데이터 선별하여 분석할 데이터 양을 줄. 효율적이고 신속한 분석 가능)

02. 결과 검토 (분류된 결과를 검토하여 상세 분석 단계로 진행할지 결정)

03. 데이터 분류 (다양한 분류 방법이 존재. 분류된 결과는 서로 데이터가 중복 되지 않게 한다)

※ 일반적 데이터 분류 방법

- 시간 정보에 따른 분류(사건 발생 시점이나 주변 시간대에 컴퓨터 사용 흔적 조사, 파일 시스템의 메타정보와 파일 내부에 저장된 시간.날짜 검토, 사건 발생 시간대에서 작업한 파일들의 리스트 확인) + 시간 역전 현상(파일 수정날짜가 만든 날짜보다 과거로 나타나는 현상. 파일을 원래 매체에서 다른 저장 매체에 옮길 경우 주로 발생)

- 위.변조 데이터 분류 (발견 시, 고의적으로 데이터를 은닉한 것으로 볼 수 있음. 여기에서 유용한 정보를 취득할 가능성이 높음 ex. 파일 확장자 불일치)

- 응용 프로그램 파일별 분류 (효과적인 사건 관련 정보 검색에 도움, 파일 종류별 통계 분석 - 사용자의 컴퓨터 사용 수준 파악 가능, 시스템의 주요 사용 목적 추측 가능)

- 소유자에 따른 분류

※ 현장에서 선별 압수 분석방법

01. 혐의와 관련된 데이터 확인 및 분석도구 준비

02. 사전조사에서 필요한 키워드(단어)들 선별

03. 지정된 범위 안에서 키워드를 분석하여 혐의 사실과 관련된 증거 자료 확인

04. 발견된 사항들을 문서나, 이미지 포맷 형식으로 추출

05. 이 모든 과정은 영상이나 사진으로 기록

<디스크 포렌식>

디스크, USB 등 보조저장매체에 기록된 증거를 수집.분석하는 기술과 절차 

=> 디지털 포렌식의 출발점

$ 분석 기술 : 출력, 복사, 이미징, 하드카피, 저장매체 압수 등 5가지 방법으로 수집 / 윈도우 아티팩트 분석

$ 한계 : 대용량화 / RAID / SSD / Virtualization / Encryption

<모바일 포렌식>

스마트폰, 태블릿 PC 등 모바일기기 분석

=> 소유자와 행동반경 일치, 통화내역, 문자, 이메일, 사진, 연락처, GPS, IMEI 등 증거 보고

(IMEI : 단말기고유식별번호, International Mobile Equipment Identity)

1. H/W 이용

- JTAG 방식

(PCB의 JTAG 포트에 연결하여 JTAG 에뮬레이터를 통해 플래시 메모리의 모든 영역의 데이터를 덤프하는 기법)

PCB: Printed Circuit Board

- 플래시 메모리 분리 방식

(직접 메모리에 접근하는 방법으로 기기에 내장되어 있는 플래시 메모리를 직접 물리적으로 추출하고 메모리 리더기를 통해 데이터를 획득하는 방식, Chip-off 방식)

2. S/W 이용

- 부트로더 변경 방식

(스마트폰이 부팅을 하는데 사용되는 부트로더를 변경하여 데이터를 획득하는 방식)

- 맞춤형 복구 사용 방식

(순정 복구 대신 설치하여 맞춤형 복구의 'Install Zip' 기능을 통해 특정 코드나 프로그램을 기기에 설치하여 관리자 권한을 획득하고, ADB shell에서 dd 명령어를 통해 데이터를 획득하는 방식)

- 커널 변경 방식

(스마트기기의 커널을 관리자 권한을 갖는 커널로 교체(플래싱)하여 관리자 권한을 획득한 후 플래시 메모리 데이터를 복제하는 방식)

- 펌웨어 업데이트 프로토콜 방식

(역공학 방법을 이용하여 부트로더의 플래시 메모리 읽기 명령어를 알아내고 해당 명령어 코드를 통해 플래시 메모리에 직접 접근하여 데이터를 획득하는 방식으로 제조사의 펌웨어 업데이트 프로토콜을 이용한 방식)

<메모리 포렌식 = 라이브 포렌식>★★★

메모리의 덤프파일(Dump File)에서 정보를 추출, 획득, 분석하는 기술과 절차

=> 침해사고 대응 이슈가 본격화되면서 중요 기법으로 부각

- 디스크에 파일을 남기지 않고 메모리에서만 작동하는 파일리스(Fileless)와 SSL(Secure Sockets Layer)을 이용하여 암호통신하는 악성코드 분석에 필요

$ 분석 기술 : 소프트웨어 이용(Live RAM Capture, CaptureGUARD) / 콜드부트 : 컴퓨터를 강제 종료하면 메모리에 저장된 데이터가 약 10분에 걸쳐 조금씩 소멸되는 특징을 이용하여 전원 강제종료 뒤 액화질소로 급속 냉각시켜 데이터 획득

$ 한계 : 메모리 데이터의 계속된 변경 등 

<네트워크 포렌식>

네트워크의 피해를 확인하고, 공격을 저지하거나 공격자를 확인해 나가는 과정

=> 침해사고 대응과도 관련, 국가.공공기관 ,민간기업 등 시스템을 운영하는 모든 기관.업체에서 사용

$ 분석 기술 : 침해사고 발생 시 방화벽, 침임탐지시스템, 라우터, 웹서버, DB 등에서 접속기록 확보 / 심층패킷(Deep Packet Inspection, DPI) 수집 및 분석 등

- 패킷 자체를 가로채 컴퓨터에 임시저장한 후 실시간 분석

- 패킷을 복사하여 저장한 후 사후적으로 분석

방법?

1. 허빙 아웃(Hubbing Out)

2. 포트 미러링(Port Mirroring) : 스위치 스팬(Switched Port Analyzer)

3. 라우터, 방화벽 등 보안 장비의 포트 미러링 이용

4. 네트워크 TAP(Test Access Port) 장비 활용 등

<소스코드 포렌식>

악성코드를 수집하여 설치경로, 공격방법, 피해내용을 분석하는 기술과 절차

$ 분석 기술 : 사전분석(온라인상 제공되는 동적행위 분석 서비스를 이용하여 악성코드 판별) / 동적분석(시스템에서 실행시켜 프로세스, 네트워크, 레지스트리, 파일생성, 삭제 관찰) / 정적분석 : 실행시키지 않고 실행파일을 직접 분석 후, 패킹(Packing), 파일구조, 기능 확인

$ 한계 : 다양한 신.변종의 등장 / 난독화

<데이터베이스 포렌식>

데이터베이스 시스템에 있는 증거자료를 추출하여 분석하는 일체의 과정

=> 도박사이트의 회원가입, 거래내용이나 마약조직이 발송한 스팸메일 등 파악에 활용

<멀티미디어 포렌식>

음성/영상 등 멀티미디어의 수집, 분석 기술 및 절차

$ 분석 기술 : 음성/영상 파일의 탐색, 복구 및 위.변조 확인 

영상 - 화질개선(저해상도, 저조도, 노이즈 관련 영상 복원) / 판독(차량번호, 차종, 색상, 위치, 속도 판독 등)

음성 - 음향분석(주변음 및 기계음, 총성 등 분석) / 성문분석(화자식별 - 동일인, 화자추정 - 성별,연령 등)

$ 한계 : 고도의 전문인력 필요

<클라우드 포렌식>

클라우드 서비스에 저장된 정보를 수집, 분석하는 절차와 방법

(클라우드 : 소프트웨어, 스토리지, 서버, 네트워크 등 모든 IT 자원을 각 컴퓨터에 할당해 주는 개념)

$ 한계 : 원격지 접속으로 증거인멸 가능 / 데이터 복구

<임베디드 포렌식>

일반적인 컴퓨터, 노트북이 아닌 기계나 제어 시스템 등에 저장된 데이터 획득. 분석

- 네비게이션, PMP, CCTV에서 무선 공유기, 팩스, 프린터, 냉장고, ECU(Electronic Control Unit), 스마트 미터(Smart Meter), 웨어러블(Wearable) 장치까지 확대

- 게임콘솔도 자체 운영체제를 가지고 있어 대상이 됨

(엑스박스(Xbox), 닌텐도 Wii 또는 소니의 Playstation 등)

- 사물인터넷이 스마트홈, 스마트카, 스마트의료, 스마트공장, 스마트시티 등에 적용될 경우에 수요는 폭발적으로 증가

$ 분석 기술 : 장비분해 후 내부 칩셋 등에 대한 정보수집, 내부 데이터 이미지 덤프와 분석 등

$ 쟁점 : 다양한 장치의 등장 / 데이터 추출 곤란

<기본 5대 원칙>

1. 정당성의 원칙

2. 재현의 원칙

3. 신속성의 원칙

4. 연계 보관성의 원칙

(사전 준비 -> 증거 수집 -> 증거 포장 및 이송 -> 조사 분석 -> 정밀 검토 -> 보고서 작성)

5. 무결성의 원칙

<디지털 포렌식 절차>

1. 대상자를 컴퓨터와 격리, 이후 모든 작업은 조사자가 수행, 현장 사진촬영 및 스케치 수행

- 컴퓨터 등 대상물의 앞.뒷면 사진, 주변기기를 포함한 사진, 전원이 켜져 있는 경우는 모니터 화면 촬영

- 현장에 있는 수집 대상물의 위치를 상세히 스케치

2. 네트워크 정보 등 휘발성 증거를 수집, 별도 저장 후 네트워크와 분리함

- 시스템의 유동 IP 확인

- FTP 접속 현황 등 확인 가능한 네트워크 정보 확인

3. 수집 대상물의 전원을 확인

- 컴퓨터 등 수집대상물의 전원이 꺼져 있는 경우 그대로 수집

- 전원이 켜져 있는 경우, 확인 가능한 휘발성 데이터 확인

4. 컴퓨터 본체 및 주변기기 확보 원칙, 부득이한 경우 하드디스크만 분리 수집

- 시스템 시간과 날짜 정보 확인

- 표준 시간(KST/GMT/UTC) 간의 오차를 휴대폰 시간과 대조하여 확인 후 기록

- 컴퓨터 전원을 끄고 본체에서 하드디스크를 안전하게 분리

5. 외장형 디스크, USB 메모리 등 기타 디지털 저장매체와 각종 소프트웨어, 주변장치, 케이블 등을 수집

6. 증거물을 포장하고 상세정보를 기재하여 증거물에 부착

- 하드디스크는 보호 박스를 사용, 개별 포장

- 컴퓨터 및 주변 장치 등에 대한 상세 정보를 기재, 라벨로 증거물에 부착

- 상세정보의 내용은 사건번호, 수집자, 입회인, 수집 일시, 장소, 물품, 제조번호 등이고, 하드디스크만 분리, 수집 시 추가로 BIOS 시간 오차를 기재 

7. 수사관은 압수조서를 작성하고, 압수 목록은 2부를 작성하여 피 처분자의 서명을 받은 다음 1부를 교부

8. 기본 조사서 작성

- 컴퓨터 사용자를 상대로 컴퓨터의 사용 용도, 운영체계, 응용 프로그램, 패스워드가 설정된 프로그램 명, 패스워드 정보 등을 확인 후 기록

- 피조사자, 입회인 확인 후 서명 및 날인

※ 디지털 포렌식 정의

전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석하고, 보고서를 작성하는 일련의 모든 절차

전자적 증거물 : 문서 파일, 인터넷 사용기록, 방화벽 로그, 사진, 동영상파일 등

사법기관에 제출 : 형사소송법의 증거 능력에 부합하도록 조사

데이터를 수집, 분석, 보고서 작성 : 전자적 증거물의 적법성, 검증 가능성, 신속성, 연계 보관성, 동일성을 증명

※ 디지털 증거 능력 조건 ? 전문경력 및 자격 보유자에 의해 신뢰된 도구와 절차에 따라 수집/분석된 디지털 증거

(증거 : 범죄에 대한 사실관계를 규명하고 증명하기 위하여 사용되는 자료)

※ 디지털 포렌식 조사 대상?

디지털 기기 : 디지털 형태로 저장되거나 전송되는 증거 가치가 있는 정보, 범죄 사건과 관련된 디지털 자료

※ 디지털 증거의 특성? 

1. 매체 독립성 : 저장 매체가 매개체의 특성에 따른 영향을 받지 않고 항상 일정한 정보의 값을 유지

2. 대량성 : 데이터의 양이 방대하여 특별한 기술과 도구, 교육된 전문인력을 사용하지 않고는 증거 추출 곤란

3. 복제성 : 반복된 복사 과정을 거치더라도 디지털 정보의 값 혹은 가치가 동일하게 유지되므로 질적인 면에서 원본과 사본 구별이 안됨

4. 취약성 : 간단한 조작만으로 위조 내지 변조가 가능하고 정보 일부의 삭제 내지 변경이 용이함

5. 비가시성 : 전자적 정보의 형태로 기록, 저장되기 때문에 인간의 오감으로는 직접 정보의 내용을 인지할 수 없음

==> 전문성이 필요

Wireshark로 열어보면 

대부분의 패킷이 RTP 프로토콜을 이용하고 있었다.

RTP 프로토콜
ㅇ 인터넷상에서 다수의 종단 간에 비디오나 오디오 패킷의 실시간 전송을 지원하기 위해 표준화된 실시간 통신용 프로토콜
ㅇ 주요 용도 : VoIP, VoD, 인터넷 방송, 인터넷 영상회의 등

즉, 영상 혹은 음성 통화를 했고, 이에 대한 흔적이 남았다고 예상할 수 있다.

따라서 Wireshark의 Tenephony 기능을 이용했다.

Telephony : 전화와 관련된 게이터를 분석, 출력시켜주는 기능

[Telephony] - [RTP] -[STREAM Analysis]

Play Streams 버튼을 클릭하게 되면

해당 RTP 프로토콜 패킷에 해당하는 음성 데이터를 얻어 들을 수 있다.

두 명이 대화하는게 들렸다.(완전 신기)

J : "Hi Victoria? I'm Jack Stone.."

V : "Yes..."

...

J : "I have bad news about Gregory.."

V : "I killed him!" (갑자기??)

RTP 프로토콜을 알게 되어 재밌는 문제였다!

계좌, 허위 웹페이지 URL 등이 나오는 것을 보니 은행 사이트와 관련된 문제일 것이다.

Wireshark의 [Export Objects] - [HTTP] 기능을 사용하여 

사용자가 접속한 URL 정보들을 확인해봤다.

전체적으로 보면 infocenter.nackofamerica.com에 계속 접속해있었다.

하지만 중간에 자세히 보면, 

backofamerica.tt.omtrdc.net 이라는 이름이 비슷한 주소로 이동한 것을 볼 수 있다.

이것이 피싱사이트 일 것이라고 예상된다.

해당 패킷의 TCP Stream을 따라가보자

중간에 내용을 보면 mBoxReferrer 파라미터에 url 인코딩된 내용이 있다.

대충 예상해보면 why is my bank of america account not working을 구글에서 검색한 것으로 보인다.

따라서 이것이 피싱 사이트임을 확신할 수 있었다.

악성 페이로드의 용량을 물어보는 문제이다.

페이로드(Payload)
: 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다(그 데이터 자체만 페이로드라고 칭한다). 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다.

전송되는 데이터를 찾아야 하므로

wireshark의 export 기능을 이용해 주었다.

이 파일을 저장한 후 virustotal에서 검사를 해봤다.

음 누가봐도 악성페이로드!