TRACE

디지털 정보의 선별적 압수, 수색

: 디지털 증거의 확보는 모든 형사사건의 성패를 좌우하는 필수 조건

: 디지털 증거와 유체물 형태 증거의 차이로 압수, 수색 절차나 증거 능력 요건이 다를 수 밖에 없음

※원칙

혐의 사실과 관련된 전자정보만을 문서로 출력하거나 복제

※ 방법

1. 관련 데이터만 습득(현장에 있는 정보저장매체 등에서 관련 데이터만 복사하거나 종이로 출력하는 방법)

2. 저장매체 전체의 사본 확보(증거사본 확보 후, 수사기관의 사무실에서 관련 데이터를 검색하여 복사 또는 출력하는 방법)

3. 정보저장매체 자체를 확보(수사기관 사무실에서 저장매체 전체를 이미징하여 증거사본 확보 관련 데이터를 검색하여 복사 또는 출력하는 방법. 원본은 반환)

※ 복사본 형태로 반출하는 경우

- 피압수자 등이 협조하지 않거나, 협조를 기대할 수 없는 경우

- 혐의 사실과 관련될 개연성이 있는 전자 정보가 삭제, 폐기된 정황이 발견되는 경우

- 출력, 복제에 의한 집행이 피압수자 등의 영업활동이나 사생활의 평온을 침해하는 경우

※ 원본 반출이 허용되는 경우

- 집행 현장에서의 하드카피, 이미징이 물리적, 기술적으로 불가능하거나 극히 곤란한 경우

- 하드카피, 이미징에 의한 집행이 피압수자 등의 영업활동이나 사생활의 평온을 현저히 침해하는 경우

※ 데이터 분류 목적

01. 데이터 선별 (조사에 필요한 데이터 선별하여 분석할 데이터 양을 줄. 효율적이고 신속한 분석 가능)

02. 결과 검토 (분류된 결과를 검토하여 상세 분석 단계로 진행할지 결정)

03. 데이터 분류 (다양한 분류 방법이 존재. 분류된 결과는 서로 데이터가 중복 되지 않게 한다)

※ 일반적 데이터 분류 방법

- 시간 정보에 따른 분류(사건 발생 시점이나 주변 시간대에 컴퓨터 사용 흔적 조사, 파일 시스템의 메타정보와 파일 내부에 저장된 시간.날짜 검토, 사건 발생 시간대에서 작업한 파일들의 리스트 확인) + 시간 역전 현상(파일 수정날짜가 만든 날짜보다 과거로 나타나는 현상. 파일을 원래 매체에서 다른 저장 매체에 옮길 경우 주로 발생)

- 위.변조 데이터 분류 (발견 시, 고의적으로 데이터를 은닉한 것으로 볼 수 있음. 여기에서 유용한 정보를 취득할 가능성이 높음 ex. 파일 확장자 불일치)

- 응용 프로그램 파일별 분류 (효과적인 사건 관련 정보 검색에 도움, 파일 종류별 통계 분석 - 사용자의 컴퓨터 사용 수준 파악 가능, 시스템의 주요 사용 목적 추측 가능)

- 소유자에 따른 분류

※ 현장에서 선별 압수 분석방법

01. 혐의와 관련된 데이터 확인 및 분석도구 준비

02. 사전조사에서 필요한 키워드(단어)들 선별

03. 지정된 범위 안에서 키워드를 분석하여 혐의 사실과 관련된 증거 자료 확인

04. 발견된 사항들을 문서나, 이미지 포맷 형식으로 추출

05. 이 모든 과정은 영상이나 사진으로 기록

<디스크 포렌식>

디스크, USB 등 보조저장매체에 기록된 증거를 수집.분석하는 기술과 절차 

=> 디지털 포렌식의 출발점

$ 분석 기술 : 출력, 복사, 이미징, 하드카피, 저장매체 압수 등 5가지 방법으로 수집 / 윈도우 아티팩트 분석

$ 한계 : 대용량화 / RAID / SSD / Virtualization / Encryption

<모바일 포렌식>

스마트폰, 태블릿 PC 등 모바일기기 분석

=> 소유자와 행동반경 일치, 통화내역, 문자, 이메일, 사진, 연락처, GPS, IMEI 등 증거 보고

(IMEI : 단말기고유식별번호, International Mobile Equipment Identity)

1. H/W 이용

- JTAG 방식

(PCB의 JTAG 포트에 연결하여 JTAG 에뮬레이터를 통해 플래시 메모리의 모든 영역의 데이터를 덤프하는 기법)

PCB: Printed Circuit Board

- 플래시 메모리 분리 방식

(직접 메모리에 접근하는 방법으로 기기에 내장되어 있는 플래시 메모리를 직접 물리적으로 추출하고 메모리 리더기를 통해 데이터를 획득하는 방식, Chip-off 방식)

2. S/W 이용

- 부트로더 변경 방식

(스마트폰이 부팅을 하는데 사용되는 부트로더를 변경하여 데이터를 획득하는 방식)

- 맞춤형 복구 사용 방식

(순정 복구 대신 설치하여 맞춤형 복구의 'Install Zip' 기능을 통해 특정 코드나 프로그램을 기기에 설치하여 관리자 권한을 획득하고, ADB shell에서 dd 명령어를 통해 데이터를 획득하는 방식)

- 커널 변경 방식

(스마트기기의 커널을 관리자 권한을 갖는 커널로 교체(플래싱)하여 관리자 권한을 획득한 후 플래시 메모리 데이터를 복제하는 방식)

- 펌웨어 업데이트 프로토콜 방식

(역공학 방법을 이용하여 부트로더의 플래시 메모리 읽기 명령어를 알아내고 해당 명령어 코드를 통해 플래시 메모리에 직접 접근하여 데이터를 획득하는 방식으로 제조사의 펌웨어 업데이트 프로토콜을 이용한 방식)

<메모리 포렌식 = 라이브 포렌식>★★★

메모리의 덤프파일(Dump File)에서 정보를 추출, 획득, 분석하는 기술과 절차

=> 침해사고 대응 이슈가 본격화되면서 중요 기법으로 부각

- 디스크에 파일을 남기지 않고 메모리에서만 작동하는 파일리스(Fileless)와 SSL(Secure Sockets Layer)을 이용하여 암호통신하는 악성코드 분석에 필요

$ 분석 기술 : 소프트웨어 이용(Live RAM Capture, CaptureGUARD) / 콜드부트 : 컴퓨터를 강제 종료하면 메모리에 저장된 데이터가 약 10분에 걸쳐 조금씩 소멸되는 특징을 이용하여 전원 강제종료 뒤 액화질소로 급속 냉각시켜 데이터 획득

$ 한계 : 메모리 데이터의 계속된 변경 등 

<네트워크 포렌식>

네트워크의 피해를 확인하고, 공격을 저지하거나 공격자를 확인해 나가는 과정

=> 침해사고 대응과도 관련, 국가.공공기관 ,민간기업 등 시스템을 운영하는 모든 기관.업체에서 사용

$ 분석 기술 : 침해사고 발생 시 방화벽, 침임탐지시스템, 라우터, 웹서버, DB 등에서 접속기록 확보 / 심층패킷(Deep Packet Inspection, DPI) 수집 및 분석 등

- 패킷 자체를 가로채 컴퓨터에 임시저장한 후 실시간 분석

- 패킷을 복사하여 저장한 후 사후적으로 분석

방법?

1. 허빙 아웃(Hubbing Out)

2. 포트 미러링(Port Mirroring) : 스위치 스팬(Switched Port Analyzer)

3. 라우터, 방화벽 등 보안 장비의 포트 미러링 이용

4. 네트워크 TAP(Test Access Port) 장비 활용 등

<소스코드 포렌식>

악성코드를 수집하여 설치경로, 공격방법, 피해내용을 분석하는 기술과 절차

$ 분석 기술 : 사전분석(온라인상 제공되는 동적행위 분석 서비스를 이용하여 악성코드 판별) / 동적분석(시스템에서 실행시켜 프로세스, 네트워크, 레지스트리, 파일생성, 삭제 관찰) / 정적분석 : 실행시키지 않고 실행파일을 직접 분석 후, 패킹(Packing), 파일구조, 기능 확인

$ 한계 : 다양한 신.변종의 등장 / 난독화

<데이터베이스 포렌식>

데이터베이스 시스템에 있는 증거자료를 추출하여 분석하는 일체의 과정

=> 도박사이트의 회원가입, 거래내용이나 마약조직이 발송한 스팸메일 등 파악에 활용

<멀티미디어 포렌식>

음성/영상 등 멀티미디어의 수집, 분석 기술 및 절차

$ 분석 기술 : 음성/영상 파일의 탐색, 복구 및 위.변조 확인 

영상 - 화질개선(저해상도, 저조도, 노이즈 관련 영상 복원) / 판독(차량번호, 차종, 색상, 위치, 속도 판독 등)

음성 - 음향분석(주변음 및 기계음, 총성 등 분석) / 성문분석(화자식별 - 동일인, 화자추정 - 성별,연령 등)

$ 한계 : 고도의 전문인력 필요

<클라우드 포렌식>

클라우드 서비스에 저장된 정보를 수집, 분석하는 절차와 방법

(클라우드 : 소프트웨어, 스토리지, 서버, 네트워크 등 모든 IT 자원을 각 컴퓨터에 할당해 주는 개념)

$ 한계 : 원격지 접속으로 증거인멸 가능 / 데이터 복구

<임베디드 포렌식>

일반적인 컴퓨터, 노트북이 아닌 기계나 제어 시스템 등에 저장된 데이터 획득. 분석

- 네비게이션, PMP, CCTV에서 무선 공유기, 팩스, 프린터, 냉장고, ECU(Electronic Control Unit), 스마트 미터(Smart Meter), 웨어러블(Wearable) 장치까지 확대

- 게임콘솔도 자체 운영체제를 가지고 있어 대상이 됨

(엑스박스(Xbox), 닌텐도 Wii 또는 소니의 Playstation 등)

- 사물인터넷이 스마트홈, 스마트카, 스마트의료, 스마트공장, 스마트시티 등에 적용될 경우에 수요는 폭발적으로 증가

$ 분석 기술 : 장비분해 후 내부 칩셋 등에 대한 정보수집, 내부 데이터 이미지 덤프와 분석 등

$ 쟁점 : 다양한 장치의 등장 / 데이터 추출 곤란

<기본 5대 원칙>

1. 정당성의 원칙

2. 재현의 원칙

3. 신속성의 원칙

4. 연계 보관성의 원칙

(사전 준비 -> 증거 수집 -> 증거 포장 및 이송 -> 조사 분석 -> 정밀 검토 -> 보고서 작성)

5. 무결성의 원칙

<디지털 포렌식 절차>

1. 대상자를 컴퓨터와 격리, 이후 모든 작업은 조사자가 수행, 현장 사진촬영 및 스케치 수행

- 컴퓨터 등 대상물의 앞.뒷면 사진, 주변기기를 포함한 사진, 전원이 켜져 있는 경우는 모니터 화면 촬영

- 현장에 있는 수집 대상물의 위치를 상세히 스케치

2. 네트워크 정보 등 휘발성 증거를 수집, 별도 저장 후 네트워크와 분리함

- 시스템의 유동 IP 확인

- FTP 접속 현황 등 확인 가능한 네트워크 정보 확인

3. 수집 대상물의 전원을 확인

- 컴퓨터 등 수집대상물의 전원이 꺼져 있는 경우 그대로 수집

- 전원이 켜져 있는 경우, 확인 가능한 휘발성 데이터 확인

4. 컴퓨터 본체 및 주변기기 확보 원칙, 부득이한 경우 하드디스크만 분리 수집

- 시스템 시간과 날짜 정보 확인

- 표준 시간(KST/GMT/UTC) 간의 오차를 휴대폰 시간과 대조하여 확인 후 기록

- 컴퓨터 전원을 끄고 본체에서 하드디스크를 안전하게 분리

5. 외장형 디스크, USB 메모리 등 기타 디지털 저장매체와 각종 소프트웨어, 주변장치, 케이블 등을 수집

6. 증거물을 포장하고 상세정보를 기재하여 증거물에 부착

- 하드디스크는 보호 박스를 사용, 개별 포장

- 컴퓨터 및 주변 장치 등에 대한 상세 정보를 기재, 라벨로 증거물에 부착

- 상세정보의 내용은 사건번호, 수집자, 입회인, 수집 일시, 장소, 물품, 제조번호 등이고, 하드디스크만 분리, 수집 시 추가로 BIOS 시간 오차를 기재 

7. 수사관은 압수조서를 작성하고, 압수 목록은 2부를 작성하여 피 처분자의 서명을 받은 다음 1부를 교부

8. 기본 조사서 작성

- 컴퓨터 사용자를 상대로 컴퓨터의 사용 용도, 운영체계, 응용 프로그램, 패스워드가 설정된 프로그램 명, 패스워드 정보 등을 확인 후 기록

- 피조사자, 입회인 확인 후 서명 및 날인

※ 디지털 포렌식 정의

전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석하고, 보고서를 작성하는 일련의 모든 절차

전자적 증거물 : 문서 파일, 인터넷 사용기록, 방화벽 로그, 사진, 동영상파일 등

사법기관에 제출 : 형사소송법의 증거 능력에 부합하도록 조사

데이터를 수집, 분석, 보고서 작성 : 전자적 증거물의 적법성, 검증 가능성, 신속성, 연계 보관성, 동일성을 증명

※ 디지털 증거 능력 조건 ? 전문경력 및 자격 보유자에 의해 신뢰된 도구와 절차에 따라 수집/분석된 디지털 증거

(증거 : 범죄에 대한 사실관계를 규명하고 증명하기 위하여 사용되는 자료)

※ 디지털 포렌식 조사 대상?

디지털 기기 : 디지털 형태로 저장되거나 전송되는 증거 가치가 있는 정보, 범죄 사건과 관련된 디지털 자료

※ 디지털 증거의 특성? 

1. 매체 독립성 : 저장 매체가 매개체의 특성에 따른 영향을 받지 않고 항상 일정한 정보의 값을 유지

2. 대량성 : 데이터의 양이 방대하여 특별한 기술과 도구, 교육된 전문인력을 사용하지 않고는 증거 추출 곤란

3. 복제성 : 반복된 복사 과정을 거치더라도 디지털 정보의 값 혹은 가치가 동일하게 유지되므로 질적인 면에서 원본과 사본 구별이 안됨

4. 취약성 : 간단한 조작만으로 위조 내지 변조가 가능하고 정보 일부의 삭제 내지 변경이 용이함

5. 비가시성 : 전자적 정보의 형태로 기록, 저장되기 때문에 인간의 오감으로는 직접 정보의 내용을 인지할 수 없음

==> 전문성이 필요

Wireshark로 열어보면 

대부분의 패킷이 RTP 프로토콜을 이용하고 있었다.

RTP 프로토콜
ㅇ 인터넷상에서 다수의 종단 간에 비디오나 오디오 패킷의 실시간 전송을 지원하기 위해 표준화된 실시간 통신용 프로토콜
ㅇ 주요 용도 : VoIP, VoD, 인터넷 방송, 인터넷 영상회의 등

즉, 영상 혹은 음성 통화를 했고, 이에 대한 흔적이 남았다고 예상할 수 있다.

따라서 Wireshark의 Tenephony 기능을 이용했다.

Telephony : 전화와 관련된 게이터를 분석, 출력시켜주는 기능

[Telephony] - [RTP] -[STREAM Analysis]

Play Streams 버튼을 클릭하게 되면

해당 RTP 프로토콜 패킷에 해당하는 음성 데이터를 얻어 들을 수 있다.

두 명이 대화하는게 들렸다.(완전 신기)

J : "Hi Victoria? I'm Jack Stone.."

V : "Yes..."

...

J : "I have bad news about Gregory.."

V : "I killed him!" (갑자기??)

RTP 프로토콜을 알게 되어 재밌는 문제였다!

계좌, 허위 웹페이지 URL 등이 나오는 것을 보니 은행 사이트와 관련된 문제일 것이다.

Wireshark의 [Export Objects] - [HTTP] 기능을 사용하여 

사용자가 접속한 URL 정보들을 확인해봤다.

전체적으로 보면 infocenter.nackofamerica.com에 계속 접속해있었다.

하지만 중간에 자세히 보면, 

backofamerica.tt.omtrdc.net 이라는 이름이 비슷한 주소로 이동한 것을 볼 수 있다.

이것이 피싱사이트 일 것이라고 예상된다.

해당 패킷의 TCP Stream을 따라가보자

중간에 내용을 보면 mBoxReferrer 파라미터에 url 인코딩된 내용이 있다.

대충 예상해보면 why is my bank of america account not working을 구글에서 검색한 것으로 보인다.

따라서 이것이 피싱 사이트임을 확신할 수 있었다.

악성 페이로드의 용량을 물어보는 문제이다.

페이로드(Payload)
: 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다(그 데이터 자체만 페이로드라고 칭한다). 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다.

전송되는 데이터를 찾아야 하므로

wireshark의 export 기능을 이용해 주었다.

이 파일을 저장한 후 virustotal에서 검사를 해봤다.

음 누가봐도 악성페이로드!

상품의 배달에 관한 정보가 노트와 휴대폰에 있다고 한다.

zip 파일 개봉!

뭐가 많다..

해당 로그 파일이 안드로이드 것임을 알 수 있다.

폴더를 쭉 보다가 사진 한 장을 발견했다,

이분이 아무래도 Gregory씨 인 것 같다.

뭐 더 있는 줄 알았는데.. 정답은 DIED 였다.

KEY : DIED

상품의 배달에 관한 정보와 제공된 비밀번호,,? 

일단 혹시 몰라 NetworkMiner에 넣고 카빙해줬다.

그리고 Messages가 있는 것을 발견

Messages 영역을 보니 Betty가 Greg에게 보냈던 내역이 있다.

password 관련한 내용이..

"You know the location and password for the drop"

그리고 그 밑에 kml 스크립트 내용이 있다.

kml?
: Keyhole Markup Language로, XML을 사용하여 위치, 이미지 오버레이, 비디오 링크 및 선, 모양, 3D 이미지 및 점과 같은 모델링 정보를 저장하여 지리 정보 주석 및 시각화를 표현

이를 보려면 kml viewer를 사용해야 한다고 한다.
https://ivanrublev.me/kml/

단체가 지도 파일을 건내주고 그 속에서 장소와 비밀번호를 표시해놓은 것 같다.

따라서 해당 kml 스크립트 파일을 긁어와 kml 파일로 저장하고(이 때, \(역슬래시)는 다 지워줘야 함) ,

kml viewer를 통해 확인해봤다.

Bnmt? Brut?

하지만, 뭐라 적어도 정답이 아니었다.

따라서 뭔가 더 있을 것이라 생각하여 코드를 다시 살펴보았다.

NetworkMiner에서 본 kml 스크립트 내용 중,

마지막이 좀 다른 것과 다르게 끝나있는 것을 보고

내용이 잘렸나? 싶었다.

wireshark로 다시 들어가 패킷의 용량이 큰 패킷의 tcp stream을 따라가보다가 

Message 속 내용이 담긴 패킷을 확인할 수 있었다.

단어 사이사이 마다 %20이 들어간 것으로 보아 URL 인코딩이 되어있다고 짐작할 수 있었다.

URL 인코딩?

따라서 이 패킷의 일부를 URL 디코더를 통해 디코딩 해줬다.

이 뒷부분이 다 잘린 것임을 알 수 있고 이 뒷 부분을 다 붙여서 다시 kml 스크립트를 저장했다.

위치와 패스워드를 확인할 수 있게 되었다!

(사실 나는 글씨를 못알아봐서 정답을 찾아봐야 했다..^^)

Key : Brutus

,,,다짜고짜 죽는다니!

문제를 풀어보자

HTTP objects 를 확인해보니 mms message가 있다.

둘 사이의 통신에서 mms message가 왔다갔다 한 것 같다.

해당 패킷을 찾아가면 MP4 형식을 사용하고 있는 것을 알 수 있다.

따라서 해당 패킷의 TCP Stream을 따라가 본다.

우리가 찾던 mp4 파일의 이름은 VID_20130705_145557.mp4이다.

해당 패킷을 추출(Raw로 저장)하고

추출된 패킷 중 mp4 파일을 카빙하기 위해서 mp4 파일의 헤더 시그니처를 찾아보자.

Carving 이란?
: 덩어리에서 필요없는 부분을 제거한다는 의미이며, 특정 확장자에 대한 파일들만 추출하고 싶을때 카빙한다라고 한다.

http://forensic-proof.com/archives/300

mp4 파일의 헤더 시그니처는 00 00 00 18 66 74 79 70 이다, 

패킷에서 이 부분을 찾아보자.

HxD를 통해 해당 부분을 검색해서 찾았고, 앞 부분은 Delete한 후, mp4 파일로 따로 저장했다.

YOU HAVE DIED OF DYSENTERY..

아무튼 정답은 DYSENTERY!