[번역문서] 범죄 현장 조사 Part1: 포렌식 소개

해당 문서는 보안프로젝트(www.boanproject.com) 에디님이 번역하신 문서입니다. 학습하는데 도움 되시기 바랍니다.

원본URL: http://resources.infosecinstitute.com/investigating-the-crime-scene-part-1/

 

추천 글

• http://www.thestudymaterial.com/presentation-seminar/computer-presentation/239-computer-forensics-presentation.html?showall=1
• First Responder’s Guide to Computer Forensics – CERT (search for it on Google)

개요

가끔 당신은 호기심에 못이겨 아드레날린 과다 분비로 정부 컴퓨터를 해킹하는 일이 생길 수 있고, 뚫고 들어간 동시에 흔적을 지우는 것을 까먹는 경우가 발생 할 수 있다. 간단히 말하자면 당신은 망한 것이다. 플랜 B를 가지고 있지 않는 한 완전 망한 것이다.

 

당신이 무언가 치명적인 것을 했다면, 정부에서 취할 다음 단계는 재난 대책이며 범죄현장에서 포렌식 절차또한 진행될 것이다.아시다시피 정부 컴퓨터든 일부 임의의 사람의 컴퓨터이든 해킹하는 것은 여전히 불법이다. 허가를 받아 해킹을 하는 것은 침투테스트라고 알려져있고 양측 모두 규칙과 해킹되야만 하는 타겟을 정해야한다. 만약 당신이 포렌식을 가지고 놀기를 원한다면 단순히 포렌식 툴들을 만져보고 침투테스팅을 하거나 또는 어떠한 규칙이나 법을 어기지 않고 해킹 할 수 있는가상 환경을 만들어설치한다. 

 

이 글은 단지 짧은 가이드일뿐이고, 당신이 포렌식을 제대로 배우길 원한다면 단순히 짧은 글을 읽는 것 뿐만 아니라 정규 과정을수강하거나 몇몇 책들을 읽거나 스스로 연구해보는 것이 제일 좋다. 모든 기업과 국가에서 사용하는 수천개의 도구가 있고 절차는 모두 다르게 구현된다. 따라서 이 글에서는 포렌식에 대한 간단한 소개와 조사를 위해 어떻게 포렌식을 하는지에 대해 보여줄것이다.

 

규칙, 범죄 그리고 살펴봐야 할 것

이 기사에서 규칙은 무엇일까? 나는 올바른 시나리오를 살펴볼 것이고 전혀 복잡하지 않을 것이다. 오직 한대의 공격자 컴퓨터와한대의 피해자 컴퓨터를 사용할 것이다.

Figure 1. Attack me… I dare you

그림 1. 나를 공격해봐… 감히 할 수 있을까?

 

나는 시나리오 전체에 대해 밝히지 않을 것이다. 지금은 포렌식이 무엇인지 왜 존재하는지 등에 대한 가장 기본적인 포렌식에 대해 설명할 것이다. 기초부터 – 아… 또?

 

기술의 발전에 따라 사람들도 지식과 기술이 발전했다. 가끔 사람들은 그들의 능력을 모두를 위해서만 쓰지 않고 해킹과 같이 그들 것이 아닌 것을 위해 나쁜 일을 한다. 간단히 말해 “소유”를 하고 싶어하고 특정한 것에 통제를 얻고 싶어한다. 그들이 취하는이러한 행동들은 단순히 골치 아픈 일뿐만 아니라 큰 문제를 동반한다.

그들은 어떤 목적을 위해 또는 재미를 위해 데이터를 파괴하고 훔치고 위조한다. 이러한 행동은 증오, 선전, 자존심, 이기심, 돈 등등을 위한 결과를 초래한다. 몇 가지를 설명해주겠다.

HDD란 무엇인가?

이 글에서 하드디스크를 포렌식 분석을 하기 위한 시나리오를 묘사 할 것이다. 따라서 이러한 종류의 메모리만 설명할 것이다. HDD는 Hard Disk Drive의 약자이고 모든 장치들은 특별한 구조와 목적을 가지고 있다. HDD는 디지털 형식으로 정보를 저장하고검색하는데 사용되는 자기 데이터 저장 장치이다.

 

HDD가 무엇인지에 대한 최고의 설명과 더 많은 정보는 다음에 있다:

http://www.youtube.com/watch?v=kdmLvl1n82U

컴퓨터 포렌식 조사란 무엇인가?

포렌식에 대해 읽는 동안, 나는  그것을 증거의 상태를 보존해야만 하는 절차와 함께 증거를 수집하는 행위라고 결론 지었다. 이말은 증거를 수집할때 전부는 아니지만 거의 모두 증거의 상태는 바뀌어서는 안된다는 것이다. 만약 증거 상태를 보존하는데 실패를 하게 된다면 또 다른 사람이 증거나 사례를 재확인 해야만 하기 때문에 문제가 될 수도 있다. 

 

“조사”할때 특정 컴퓨터의 증거 수집은 가장 먼저 컴퓨터가 켜져있는지 또는 꺼져있는지에 대한 컴퓨터 상태다. 이것은 다음 두단계를 결정하는데 도움이 될 것이다. 만약 켜져있다면 정보가 RAM(Random Access Memory)에 저장되어 있을 것이고, 만약누군가 꺼버렸다면 몇몇 정보를 잃을 수도있다. 만약 컴퓨터가 꺼져있다면 질문이 있다. 디스크를 복사하는 것을 시작해야 하는것인가?

 

먼저 많은 사실이 있다. 먼저 무슨 일이 일어났는지에 대한 어떤 정보도 가지고 있지 않다. 예를 들어, 회사가 웹 서버를 운영하고있고 어느날 서버가 해킹당한 것과 같다. 만약 회사가 매우 민감한 정보를 가지고 있고 컴퓨터를 해킹한 사람을 쫓고(떄로는 고용인에 의해 컴퓨터가 해킹당할 수도 있다) 포렌식 조사에 대해 돈을 쓸만한 가치가 있는지 생각해야한다.

 

내가 미국에 거주하지 않기 때문에 컴퓨터 포렌식에 대한 법은 설명하지 않을 것이다. 대부분의 내가 읽은 포렌식 분석과 절차들에 대한 책과 논문은 미국에서 사용된 것이다. 만약 이것에 대해 더 읽고 싶다면 다음을 참조해라.

• http://www.moreilly.com/CISSP/DomA-2-Computer_Crime_investigation.pdf
• http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf
• http://www.sans.org/reading_room/whitepapers/incident/computer-forensic-legal-standards-equipment_648
• http://www.novalam.com/files/computer_forensics/Computer%20Forensics%20-%20Law%20and%20Privacy.ppt

 

내가 언급한 바와 같이, 나는 가장 먼저 HDD를 분석할 것이고 이에 대한 시나리오를 위해 다음과 같은 단계들을 만들 것이다.

• 컴퓨터구성요소에대해메모를해야한다.(일련번호, 제조업체등)
• 만약 컴퓨터 상태가 켜져있다면, 메모리 캡처 및 복제를 해야한다. 만약 그렇지 않다면, HDD의 복제를 시작해야한다.
• 
  
• 다음 단계는 이미지 파일들을 깨끗한 상태의 HDD에 저장해야 한다. 이렇게 해야 증거의 상태가 보존되는 것을 도와줄 것이다. (이 시나리오에서는 외장HDD를 사용했고, 어떠한 것도 복구 안되는 상태로 포맷이 되었다)
• 
  
• 사용될 도구들을 설정해야한다.
• 
  
• 범죄 현장을 재구성 해야한다.
• 
  
• 증거를 정의하고(찾은 경우) 그것에 대해 문서를 만들어야 한다.
• 
  
• 최고의 증거를 찾아내야 한다. (사건을 해결하기 위해 사용될 무언가)
• 
  
• 다음 단계들은 고소 그리고 범죄확정등에 대한 법(여기서는 설명되지 않는다) 절차들과 연결되어질 것이다.

포렌식 브라우저의 개요

지루해지기 전에 이론에 대해서는 그만 설명할 것이다. 먼저 하드디스크 확보와 복제하는 절차에 대해 설명할 것이다.

 

하드디스크에 직접적으로 접근하는 것을 막고 쓰기 작업을 완전히 피하기 위해 Live 백트랙 디스크를 넣어야 한다. 백트랙을 시작하고 터미널에 “fdisk –l”이라고 입력한다. 현재 사용가능한 모든 파티션과 하드디스크들을 목록화해서 보여줄 것이다. 그림 2처럼보여진다.

 

그림2. 저장 장치들에 대한 목록

 

내 외장하드인 “/dev/sdb”를 볼수 있고, “/dev/sda”가 하드디스크이다. 내가 시나리오를 만들었기 때문에 내 두번째 파티션에는아무것도 없다는 것을 알고 오직 첫번째 파티션(/dev/sda2)만들 복제 할 것이다.

그림 3. ewfacquire의 사용

 

“ewfacquire /dev/sda2/”라고 입력하고 전체 사건에 대해 몇몇 정보를 입력해야 한다. 내가 입력한 것이 다음에 있다(그림 4에나온다)

그림 4. 디스크 파티션 복제

 

 

다음 단계는 복제과정이 끝나기까지 기다리는 것이다. 복제 시간은 파티션 또는 하드디스크의 크기에 따라 달라진다( 왜 그러는지 아마 알 것이다).

그림 5. 잠들을 정도로 오래 기다렸다

 

이제 파티션이 파일들로 되어졌고 숫자들은 파티션/디스크 사이즈에 따라 다를 것이다. 이 파일들을 외장하드로 옮겼다. 결과는그림 6과같이 보여진다.

그림 6. 복제된 파티션

 

다음 해야 할것은 조사를 위해 Autopsy를 설정해야 한다. 아시다시피 Autopsy는 도구들 모음인 The Sleuth Kit의 그래픽 인터페이스이다. 윈도우와 리눅스처럼 다른 OS 플랫폼에서도 사용되어질 수 있다. Autopsy의 시작(그림7에서 볼 수 있다)과 함께 수집한 증거들에 대한 정보가 담길 디렉토리를 입력하며 설정하면 된다.

그림 7.  Autopsy 설정

 

디렉토리 설정 후, “localhost”를 가리키는 링크를 열고 Autopsy의 유저 인터페이스를 열면 된다.

그림 8. Autopsy의 생김새

 

보시다시피 고를 수 있는 3가지 옵션이 있다. Open Case (이전에 생성한게 있을 경우), New Case (새로운 사건을 만들고 싶을경우), 그리고 Help (이것에 대해 설명하지는 않을 것이다)가 있다. 새로운 사건을 만들기 위해 New Case 버튼을 클릭하고 그림9와 같이 무언가가 나타났다.

 

그림 9. 새로운 사건 만들기

 

새로운 사건을 만들면 사건의 일련번호(현재 사건의 ID로서 필요하다)와 같은 사건 이름을 입력하고 사건에 대한 설명(가지고 있는 단서나 정보에 대해 넣는다)을 입력하고, 마지막으로 조사자의 이름을 입력하면 된다. 이 시나리오에서는 무슨 일이 일어났는지 조금도 모른 척 할 것이다.

 

그림 10. 사건 생성

 

다음 해야 할 것은 조사할 호스트(컴퓨터)를 추가하는 것이다. 호스트 이름은 조사할 컴퓨터의 이름이고, 그 다음에 있는 설명은컴퓨터에 대해 적으면 된다 (나는 여기에 장치 설명과 어떤 것이 검사 되었는지 입력했다).

 

타임 존과 나머지는 검사하고 있는 장치에 대해 어떠한 정보도 가지고 있지 않기 때문에 빈 공간으로 남겨둔다 (검사한 파일의 타임존을 알아야 하는 것은, 가끔 다른 시간대에서 사건을 가지게 될 수 있기때문이다. 시간 왜곡과 같은 것으로는 컴퓨터를 동기화로부터 수 초를 수동적으로 조정하거나, 경고 해시 데이터베이스의 경로가 불량으로 표시되는 파일의 해시 데이터베이스이다).

 

그림 11. 호스트 추가

 

사건을 추가하고 호스트를 추가하면 분석을 위한 복제된 하드디스크의 이미지들을 추가 할 수 있는 옵션 메뉴들을 볼 것이다(그림 12).

그림 12. 사건

그림 13. 이미지 추가

 

“CS221.*” 이미지를 추가하고 이미지 종류를 정의한다. 선택은 어떤 이미지 종류를 만들었는지에 따라 다르다 (파티션이미지인지 또는 디스크 이미지인지). 이 시나리오에서는 파티션 이미지를 만들었다 (볼륨 이미지).

그림 14. 이미지 종류 정의하기

그림 15. 마지막 단계… 조사를 위한 사건 설정

 

이것이 이 글의 마지막 단계이다. 이미지를 추가하고 조사의 상세한 부분에 대해서는 다음에 설명할 것이다.

결론

내가 말한 것처럼 이 방법이 범죄를 해결하기 위한 유일한 방법은 아니다. 범죄자를 잡고 사건을 해결하는데 도움을 줄 많은 단서들을 찾기 위한 수천개의 도구들이 있다. 이것은 포렌식에 대한 최고의 글이 아닐 수도 있지만 모두가 이해하고 포렌식은 디지털사회에서 중요한 부분이라고 설명하고 싶었다.

 

오늘날 수 많은 사람들이 당신의 사업을 위협할 수도 있고 만약 심각한 경쟁자라면 포렌식 조사 기술을 가지고 있는 사건 대응 팀을 가지는 것도 나쁘지 않다. 어느날 당신 목숨을 구해줄 수도 있다… 이것은 농담이지만 당신의 컴퓨터와 회사는 언제나 100퍼센트 보호받지 못하기때문에 플랜 B가 실패한다면 만약의 경우를 위해 언제 사용할지는 모르지만 항상 플랜 C를 가지고 있어야 한다.

 

참고

1. http://www.howtogeek.com/howto/19141/clone-a-hard-drive-using-an-ubuntu-live-cd/
2. http://www.tannr.com/2011/05/27/cloning-a-drive-the-dd-way/
3. http://dereknewton.com/2010/06/recycle-bin-forensics-in-windows-7-and-vista/
4. http://www.pcguide.com/ref/hdd/file/ntfs/archMFT-c.html
5. http://forensiccontrol.com/resources/beginners-guide-computer-forensics/
6. http://forensiccontrol.com/resources/free-software/
7. http://www.integriography.com/
8. http://whereismydata.wordpress.com/2009/04/19/how-many-bytes-in-a-sector/
9. http://www.ehow.com/about_6697490_ntuser-dat-file_.html
10. http://en.wikipedia.org/wiki/Hard_disk_drive
11. Forensic Examinations Series – http://www.youtube.com/watch?v=ihRD7etU1to