맨땅에 헤딩하기

작성자 : 투라 (extraman@boanin.com )

편집자 : 엔시스

오늘은 네트웍 포렌식입니다..

타이틀은 네트웍이지만, 실질적으로 네트웍&시스템 포렌식 수업을 해서..

중복 내용이 많습니다.

리뷰하는 마음으로 주욱 써 내려갑니다.

일단 증거수집과정의 운영 지침으로..

-         가능한 모든 자료를 수집하라,

-         날짜나 시간도 포함하여 자세히 기록 한다.( 시간차 기록)

-         언제 증명(법정 출두) 해야 할 지 모르므로, 자세한 기록이 중요하다.

-         수집과정에서의 데이터 변형을 최소화

-         수집(collection) 할 것인가 분석(analysis) 할 것인가를 선택해야 한다면

수집을 먼저하라

-         휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다.

-         프라이버시관련 법률이나 회사의 지침에 위배되지 않도록 유의한다.

이렇게 수집한 증거물들은 chain of custody 가 명확하게 문서화 되어야 한다.

-         언제, 어디서, 누가 증거물을 발견하였고, 수집 하였은가?

-         언제, 어디서 누가 증거물을 다루었고 검사 하였는가?

-         누가 어느 기간에 증거물을 관리했고, 저장되었는가?

-         언제 관리에 대한 변경이 일어 났고, 언제, 어떻게 이송이 되었는가?

증거수집을 위한 Tool 들..

-         프로세스를 검사하기 위한 프로그램 (ex> ps..)

-         시스템상태를 검사하기 위한 프로그램(ex> ifconfig. Netstat, arp..)

-         bit to bit 복사 가능한 프로그램 ( ex> dd, safeBack..)

-         체크섬이나 서명(signature)를 생성할수 있는 프로그램 ( ex> md5sum, sha1sum ..)

-         core image를 생성할수 있는 프로그램 ( ex > gcore, gdb)

-         증거 수집을 자동화 할수 있는 스크립트( ex> Ther Coroner’s tool Kit, fire…)

네트웍 포렌식에서 중요한 TCP/UDP Network 연결을 통해 데이터를 쓰고 읽을 수 있는

유틸리티인 Netcat에 대해 알아 본다.

http://netcat.sourceforge.net/

http://joncraton.org/files/nc111nt.zip

에서 리눅스와 윈도우 버전 down 가능하다.

조사 대상 시스템에서 dd 명령을 이용해서 파티션을 복사하고 이를 nc를 이용해서 분석할 시스템으로 전송하려면..

# nc –l –p 10000 > target.hdd2.dd (원격지 xxx.xxx.xxx.xxx 서버 )

# dd if=/dev/hda2 bs=1024 | nc xxx.xxx.xxx.xxx 10000 –w 3

-ㅣ ( Listen mode )

- p 10000 ( 10000 port use )

- w ( time out,  마지막 읽고 난뒤 종료할 시간 설정 )

Netcat 사용법은 중요하니 숙지 하시기 바랍니다.

슈퍼유저서버팀에서 작성한 netcat 사용가이드 참고 바랍니다.

Network 증거수집에서 다음과 같은 사항들을 고려하여 수집한다.

l       하드웨어와 운영체제 선택

-         OS는 리눅스계열로 불필요한 네트워크 서비스 중지하고 ,하드디스크는 증거 저장용 디스크와 os 디스크 물리적 분리, cable의 tx 부분을 자른다(제거)..

l       스텔스 모드(Stealth mode) 설정

-         antisniff 프로그램등의 추척 회피

l       네트워크 모니터링 소프트웨어 선택

-         Libpcap 기반의 프로그로토콜, snoop, iptrace등..

l       이벤트 모니터링

-         이벤트에 대한 룰 or 임계치 설정후 이벤트 발생시 경고 메시지 생성

l       네트워크 연결상태

l       동작중 프로세스 상태

l       로긴중 사용자정보

l       오픈된 파일 정보

l       스왑된 파티션 정보

l       로그파일

l       각종 운영체제 배포 CD

l       운영체제의 시스템 파일에 대한 MD5 해쉬값 및 바이너리 정보

l       백업에 필요한 충분한 디스크

마지막으로 말씀 드리는데요...Netcat 사용법에 대해서는 꼭 숙지 하시는게 좋습니다.

음.이것으로 네트웍 포렌식도 마칩니다..

너무 대충인가여..^^;

다음에는 encase에 대해서 포스팅 해야하는데..

음..이거 어떻게 포스팅해야할지..데모버전으로 최대한 해보도록 하죠..

지난 8일 MBC 희망특강 파랑새라는 프로그램을 봤습니다..
강의 버라이어티라는 프로그램형식을 빌어
동시대의 성공한 사람들 선정해서 3명의 강사들이 나와서
그사람의 성공 전략(?)비법등을 강연하는 프로인데요
마침 그날은 반기문총장에 대해서 강의를 하더라구요..

그중 마지막 강연하신분의 강의 내용 요약(?)입니다..
보면서 많은 반성(?)을 했네요..

키워드라도 보시면서 참고하세요~~


성실과 유능의 균형이 잡혀야 성공할수 있다

성실 : 성공을 위한 텃밭

1. 부지런히 살아야한다.

2. 약속을 잘 지켜야한다.(시간..말...)

3. 자기관리 철저히..
3-1 건강관리를 철저하게 해야한다.
3-2 인상이 좋아야한다..(관리를 잘 해야한다..)
3-3 심(心)상이 고아야한다..(나쁨맘 먹고는 성공 못한다..)
3-4 커뮤니케이션 관리

유능 : 성공을 위한 씨앗

1. 최고의 전문가가 되어라..

2. 세계언어를 익혀라..

3. 다독하라..(책 많이 읽어라..)

애들 대리고 여기저기 가까운데만 다녔는데도 힘드네요..이놈의 저질체력...

오늘은 DB포렌식입니다.

DB증거자료의 추출 절차는

1.     운영체제 및 DB종류 및 설정 정보 확인

2.     DB 접속 후 Memory, User, Resources등의 휘발성 정보 추출

3.     DB 서버 압수 할 경우 DB shutdown 후 O/S 종료

4.     목적자료만 추출 할 경우 DB or 운영체제상 명령어 이용 자료의 추출 및 복사

5.     DB운영자,개발자 있을 경우 DB설계 개념, 사용 목적 및 방법, 추가 백업데이터

여부조사

6.     추출된 데이터 베이스 복사본 or 저장 증거 파일의 해쉬값 계산,기록,확인 후 보관

DB증거 자료 추출시 고려 상황

l  대형범죄 아닌경우 시레 규모 큰 site에서 DB 전체 복제하는 일이 적음

è 저장 용량, 시간, 개인정보나 회사 기밀 정보의 유출등 문제점 있음

l  정보 추출 시 우선 ERD나 스키마 받아서 DB구조 분석

l  DB구조 파악 후 query 날려 필요한 부분만 덤프 뜨는 형식을 취함

l  덤프 받은 자료를 담당자 확인 후 압수(목록 작성 날인)

è 보통 압수과정에서 수사관 참여 하에 담당자가 직접 DB 덤프 or 담당자 입회 하에

.수사관직접 추출

l  기업체가 크고 중요한 DB가 많은 경우 수사관 실수로 치명적 결과 가져올 가능성

à Dump도중 DB나 테이블 삭제 or DB다운

è DB 관리자가 직접 필요 내용 추출하는 방법 많이 사용

DB 증거 자료 분석 절차

- 추출된 데이터베이스 복사본 및 증거파일의 해쉬 값을 생성하고 추출 시 작성된 문서의

기재된 값과 비교

- 휘발성 정보 획득 했을 경우, memory, process, file등의 자원 사용을 분석하여 사용

됐던 기능 및 상황 파악

- DB 증거에 맞는 O/S 및 DB프로그ㅐㄻ을 구축하고 증거 파일을 복사 및 복제

- DB접속 프로그램 및 로그 분석 프로그램을 사용하여 자료구조, 자료 관계, 접속자,

사용내역, 자료 복구등을 목적에 맞게 실행하고 증거 획득

- DB 분석의 분석자, 분석 과정, 분석 결과 등의 세부 사항을 기록

그렇다면 언제 DB Snapshot을 작성해야 하는가….

l  DB에 대한공격 or 훼손이 발견 되었을 즉시

l  일정 횟수 이상의 DB 트랜젝션이 시행 되었을 때

l  일정시간 (매일,매주,매월 등..)

l  일정 횟수 이상의 DB 사용자 로그인/로그아웃

l  기타 시스템과 운영자 필요시

그럼 DB 포렌식의 주요 증거 자료 항목은 어떤것들이 있는가..

l  휘발성 DB Connection & Session 정보

l  DB 전체 or 특정 DB

l  DB Table 전체 또는 특정 Table 또는 특정 레코드

l  Meta 정보 DB 또는 Meta 정보 Table

l  DB 자체 Log

l  System Log

l  Application Log

위의 증거 자료들중 수집 우선 순위는??

1.     DB Server connections & Session

2.     TranSaction Log

3.     DB Server Log

4.     DB Server Files

5.     System Event Log

기타 DB 보안 설정 및 SQL Injection, 기타 로그 위치등은 많은 자료가 잇으므로 생략 합니다. 포렌식 자격시험에서는 DB쪽에서 SQL Injection의 흔적을 알 수 잇는 증거내용 이런게 있었는거 같습니다..

이정도로 DB에 대한 내용은 마무리합니다.

다음에는 network 관련 내용으로 포스팅 이어 갑니다.

토욜까지 포스팅 못할듯하고..늦어도 월욜까지는 포스팅 하도록 하겠습니다.