Digital Forensic - Live/Non-Live Data

Live Forensic (Live Response)

 시스템의 전원이 켜져 있는 상태에서 Live Data(활성 || 휘발성 데이터, 메인 메모리의 데이터 등)를 수집하는 행위이며 포렌식 조사 과정 중 하나이다. 이는 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집, 분석, 증거를 기반으로 추측을 객관화하는 작업까지 포함한다.

 

라이브 포렌식의 중요성

1. 전원을 종료하면 사라지는 활성 데이터를 얻을 수 있는데 이 활성 데이터에는 아래와 같은 데이터가 속해있다.

• 실행 중인 프로세스
• 열려있는 파일 목록
• 네트워크 연결 정보
• 현재 전송 중인 패킷
• 현재 로그인 중인 사용자
• 클립보드에 저장된 데이터
• 복호화된 데이터
• 임시파일
• 기타

2. 수집한 활성 데이터를 우선적으로 평가함으로 시스템의 대략적인 상태를 파악할 수 있다.

예를 들어 설치된 윈도우 버전과 서비스 팩을 파악해 해당 시스템의 취약점을 목록화하고 활성 데이터를 해당 취약점과 연계해서 수사망을 좁힐 수 있다.

3. 24시간 동작해야하는 서버 컴퓨터 등 종료로 인한 손실을 이유로 종료할 수 없을 경우 활성 상태에서 모든 증거를 수집/분석해야 한다. 이 경우 활성 데이터의 수집/분석이 최우선 과제이다.

4. 현재 발생하고 있는 사건/사고의 경우 그에 대한 많은 데이터의 수집과 확인이 가능하다.

 

라이브 포렌식이 수행되어서는 안 되는 경우

1. 해커나 악성코드 등으로 시스템이 변조되고 있을 경우: 변조 및 삭제되고 있는 파일이 조직에 영향을 미치는 중요 파일일 수도 있으므로 더 이상의 변조를 막기 위해 시스템의 전원 플러그를 제거해야한다.

2. 조사를 수행하는 유틸리티가 검증되지 않은 유틸리티일 경우: 주로 오픈소스 유틸리티에 해당하는데 이를 사용하면 시스템에 어떤 영향을 미칠지 모르기 때문이다. 개인 PC의 경우 전원 플러그를 제거해도 되지만 서버의 경우 서버 응용 프로그램은 장애 대비 능력이 없기에(처음부터 강제 종료를 상정하지 않고 프로그램 되어서) 시스템에 손상을 줄 수도 있으므로 정상적으로 종료해야 한다.

 

라이브 포렌식의 원칙

 로카르의 법칙에 의해 라이브 포렌식을 수행할 때 시스템에 미치는 영향을 최소화해야 할 필요가 있다. 아래는 수행 중 일어날 수 있는 영향들이다.

1. 메모리: 프로세스가 생성되고 메모리에 적재됨에 의해 프로세스가 메모리를 점유한다. 이로 인해 이전의 데이터를 덮어 씌우는데 이 때 중요한 활성 데이터가 사라질 수 있다. 또, 커널 오브젝트를 관리하는 시스템 테이블이 갱신되면서 오래된 항목이 자동 삭제된다.

2. 네트워크: 유틸리티가 네트워크 기능을 사용한다면 시스템은 소켓을 열고 통신한다. 이 과정에서 방화벽이 있다면 로그가 남고 로그파일이 쌓이면서 HDD를 사용하게 된다. 이렇게 로그파일이 쌓여 특정 개수에 다라면 제일 오래된 로그가 삭제된다. 또 네트워크 연결이 커널 오브젝트에 의해 관리되어 커널 테이블을 갱신한다.

3. 프리패치 파일(윈도우의 경우): 윈도우에서 새 프로그램이 실행될 때마다 생성되는 파일인데 유틸리티에 대한 프리패치 파일도 당연히 생성되며 이는 최소 클러스터(윈도우가 HDD를 할당하는 단위) 하나 이상의 비할당 영역을 새로 할당받는다.

4. 레지스트리(윈도우의 경우): 유틸리티들은 대개 레지스트리에 접근해 그 값을 이용하는데 이러면 레지스트리에 대한 마지막 접근 시간이 갱신된다. 또 레지스트리에 대한 값을 건들면 레지스트리 키에 대한 마지막 쓰기 시간도 갱신된다.

5. DLL(Dynamic Link Library, 윈도우의 경우): 동적으로 컴파일할 때 필요한 파일인데 여러 비슷한 함수들의 모임이다. 유틸리티가 시스템의 DLL을 사용한다면 파일의 마지막 접근 시간이 갱신된다.

6. 로그파일: 유틸리티가 에러를 일으키면 이에 대한 로그가 남는데 이로 인해 사건에 관한 로그가 밀려 삭제될 수 있다.

 

Non-Live Data (비활성 || 비휘발성 데이터)

 데이터의 변동이 없는 데이터 즉, 저장되어 있는 파일 형식의 데이터라서 시스템의 전원 on/off 여부에 영향을 받지 않는다. 활성 데이터는 위의 라이브 포렌식에서만 획득 가능하지만 비활성 데이터는 라이브 포렌식, 디스크 포렌식 모두에서 획득할 수 있다.

이 경우 원본을 이미징한 후 분석하는게 일반적이었는데 최근 저장매체의 용량이 커지면서 이미징이 완료될 때까지 시간이 길어져 신속한 사고 대응에 적합하지 않다. 비활성 데이터 중에는 크기가 크지 않지만 분석에 중요하게 활용되는 데이터가 있는데 이런 데이터를 라이브 포렌식 시 함께 수집하면 이미징하는 동안 사전 분석 작업을 할 수 있다. 라이브 상태가 아니더라도 이미징 전에 쓰기방지장치를 설정한 후 주요 비활성 데이터를 먼저 수집하면 전체 분석 시간을 단축할 수 있는데 이 경우 결국 르카르의 법칙에서 자유로울 수 없으므로 시스템에 미치는 영향과 분석 효율성을 잘 비교해서 수행해야 한다.

 

위의 "크기가 크지 않지만 분석에 중요하게 활용되는 비활성 데이터"에는 아래와 같은 데이터가 속해있다.

• 파일시스템 메타데이터 (NTFS의 MFT, FAT의 디렉터리 엔트리 등)
• 각종 로그 파일 (이벤트 로그, 파일시스템 로그, 방화벽 로그, 작업 스케줄러 로그 등)
• 브라우저 사용 흔적 (웹 아티팩트-웹 브라우저 캐시 등)
• 프리패치/슈퍼패치 파일
• 바로가기 파일 (LNK)
• 휴지통 정보
• 레지스트리 하이브파일 (하이브파일에 레지스트리가 저장 됨)

이 중 필수적으로 수집해야 하는 파일은 아래와 같다.

• $MFT: MFT 영역 자체의 정보를 담고 있는 파일, MFT의 엔트리 0번째 파일
• $LogFile: 파일의 생성, 수정, 삭제 등 MFT 엔트리에 영향을 주는 모든 정보를 기록한 로그 파일, MFT 엔트리 2번째 파일
• $UsnJrnl:$J: 저널파일, 파일 시스템의 모든 파일 및 디렉터리의 변경사항을 기록한 로그 파일
• 이벤트 로그
• 프리패치 파일: 응용 프로그램 이름, 실행 횟수, 마지막 실행 시간, 프로그램의 파일시스템 시간 정보, 프로그램이 위치한 볼륨 정보, 프로그램이 참조하는 파일 목록 등을 획득 가능
• LNK 파일
• 레지스트리 하이브파일 (SAM: 로컬 계정과 그룹 정보, SYSTEM: 시스템 부팅에 필요한 전역 설정 정보, SOFTWARE: 시스템 부팅과 관련 없는 전역 설정 정보, SECURITY: 시스템 부팅에 필요한 전역 설정 정보, NTUSER.dat: 사용자별 설정 정보, UsrClass.dat: 사용자별 애플리케이션 바인딩 정보)

+)MFT: Master File Table, 파일의 위치, 속성, 시간 정보, 이름, 크기 등의 메타데이터를 저장한 파일이다.

+)$가 붙은 파일은 파일 시스템과 관련된 파일이다.

 

 로그 파일이 매우 크지 않다면 주요 비활성 데이터를 수집하는데 시간이 많이 걸리진 않는다. 그리고 이 비활성 데이터들은 시스템(주로 윈도우)의 주요 흔적을 모두 포함하고 있기에 타임라인 분석을 비롯한 거의 모든 분석이 가능하다. 사전 분석을 마치면 이미징된 저장매체를 대상으로 악성 분석(AV 엔진, 해시 비교, 슬랙 탐지 등)을 수행해 침해 여부를 파악한다. 그 후 사전 분석으로 알아낸 정밀 분석 대상을 추출해 분석을 수행한다. 이 방법은 기존의 방법(시스템 종료, 이미징 후 분석)에 비해 전체 분석 시간을 줄여주고 사건을 객관적으로 볼 수 있게 해준다.