MAGNET AXIOM Webinar Review

2020년 1월 PLAINBIT는 국내 “MAGNET AXIOM” 고객을 대상으로 웨비나를 진행하였습니다. 진행된 웨비나는 2019년 말 “MAGNET AXIOM 3.0” 업데이트 소식을 다룬 내용 이후 두 번째로, 달라진 MacOS 환경에 대응하기 위한 아티팩트 소개 및 분석을 다루는 시간이었습니다.

첫 번째 웨비나의 시청을 원하시는 경우 아래 영상에서 참고하실 수 있습니다.

 

이번 포스팅은 웨비나 내용을 살펴보며 케이스 생성부터 분석 방안까지 업데이트 내용을 다시 한번 확인하고 업무에 활용 가능한 기능 소개를 위해 작성되었습니다.

 

# MacOS 주요 내용

# HFS+ vs APFS

 APFS는 “Apple File System”의 약자로 1998년 이후부터 사용한 HFS/HFS+를 대체하기 위한 애플의 차세대 파일시스템입니다. 애플은 최근 iPhone, iPad, Apple Watch뿐만 아니라 Apple TV까지 APFS 파일시스템 적용 범위를 확대하고 있습니다. HFS+와 APFS 환경의 기본적인 변경 내용은 다음과 같습니다.

구분 HFS+ APFS
타임스탬프
정밀도
초 단위 정밀도
 – 2038년 문제 발생
나노초 단위 정밀도
주소 공간 32비트 주소 공간
 – 최대 40억 여개 파일 생성
64비트 주소 공간
 – 최대 900경 여개 파일 생성
저널링 저널링 파일 시스템 사용 저널 미 사용
암호화 기본 암호화 미지원 기본 암호화 지원
암호화 지원
암호화 레벨 암호화 수준
 – No Encryption
 – One key per volume
  : 메타데이터/데이터 암호화
 – Multi-key encryption
  : 메타데이터 암호화
  : 파일/익스텐츠 별 암호화
  : 볼륨 암호화

 

# 암호 공격

 암호는 비인가자의 접근 및 사용 방지를 목적으로 하지만 범죄에 사용된 시스템의 내용 확인 등에서는 암호 해제 문제에 직면하는 대상이기도 합니다. APFS에서는 로그인을 시도할 수 있는 대상 별 횟수가 지정되어 있습니다. 

대상 횟수
사용자 로그인 창 최대 30회
TDM
(Target Display Mode)
최대 30회
복구 모드 최대 10회
Recovery Key 최대 60회
iCloud Recovery 최대 60회
Institutional Key 최대 60회

 

그리고 각 암호 공격에 실패할 경우 시도 횟수 별 재 입력 지연 시간은 아래와 같이 정의됩니다.

시도 횟수 지연 시간
1 – 14회 없음
15 – 17회 1분
18 – 20회 5분
21 – 26회 15분
27 – 30회 1시간

 

# System Integrity Protection (SIP)

 Unix 기반의 시스템은 root 계정으로 전체 권한을 가지게 됩니다. 이에 MacOS에서는 El Capitan(10.11) 이상 버전에서 SIP 기능을 제공, 주요 파일 시스템 내용을 보호하고 있습니다. 이는 코드 인젝션, DTrace 내용, 서명되지 않은 커널 모듈 로드를 제한하여 시스템을 보호하고 있습니다.

  • 파일 시스템 권한 보호 대상
    • /System
    • /usr
    • /sbin
    • 기본으로 사전에 설치된 앱

 SIP 기능은 분석 대상 시스템을 root 계정으로 운영하더라도 주요 파일 시스템 대상 접근이 불가능하여 라이브 환경에서의 이미징 및 데이터 수집 작업에 어려움을 주는 단점도 제공합니다.

 

# Mac 수집 도구

 여러 상용 Mac 수집 도구는 환경에 맞추어 지속적으로 발전하며 이미징 결과를 제공하고 있습니다.  만약 APFS 볼륨 암호화 키를 알고 있다면 복구 모드 환경에서 dd 명령어로 수집이 가능하지만 전문 도구를 이용하면 더욱 안전하고 정확한 이미징 결과를 제공받을 수 있습니다. 아래 표는 주요 수집 도구의 기능 표로 제공 가능한 기능 범위를 나타냅니다.

 

# 데모

 아래 내용은 웨비나에서 다룬 주요 기능과 분석 방법을 분류하여 영상과 함께 정리한 내용입니다.

  • PC로 확인하시면 각 기능에 맞는 내용만 시청하실 수 있습니다.

 

# 케이스 생성

 분석을 위해 가장 먼저 분석 대상 케이스 생성이 필요합니다.
 MacOS 분석을 위한 케이스 생성 상세 설명은 아래 영상에서 참고하실 수 있습니다.


 

# .DS_Store 

 “.DS_Store”는 “Desktop Service Store” 파일로 사용자가 MacOS의 Finder로 디렉터리에 접근할 경우 디렉터리 메타데이터를 저장하는 역할을 합니다. 데이터에는 데이터 크기, 수정 시작, 아이콘 위치, 폴더 배경, 보기 스타일 등의 파일 정보를 담고 있습니다. 윈도우 운영체제에서는 “Desktop.ini”로 제공되는 것과 유사한 역할을 합니다.

 

# AirDrop

 AirDrop은 Apple社의 제품간 사진, 미디오, 메모, 위치 등을 공유 전송할 때 사용하는 무선 통신 파일공유 시스템입니다. MacOS는 Lion 버전 이상, iOS는 7이상부터 지원하기 시작하여 기기의 Wi-Fi나 Bluetooth로 데이터를 전송합니다. MacOS에서는 “/var/db”에 사용 기록을 저장하며 각각 “diagnostics”와 “uuidtext” 디렉토리로 관리됩니다.



# Bash History

 MacOS는 시스템 기본 쉘로 Bash shell을 사용합니다. Bash shell을 사용하면 .bash_history에 사용 기록이 저장되어 이를 분석 시 명령어 사용 내역, 시스템 사용 시간 등을 파악할 수 있습니다. 기본 터미널이 아닌 “iTerm2″와 같은 애플리케이션 사용 내역 분석도 제공하고 있습니다.

 

# CoreAnalytics

 MacOS 10.13 High Sierra 이상 버전에서 제공하는 “Mach-O” 기록 분석을 지원합니다. “Mach-O”는 Mach Object file format”의 약자로 윈도우의 PE, unix 계열의 ELF와 같이 MacOS에서의 바이너리 형식을 의미합니다. 분석시 특정 프로세스가 Foreground로 실행된 총 실행 시각, 애플리케이션 진단 시각 등의 정보를 제공받을 수 있습니다.

 

# FSEvents

 FSEvents는 파일시스템 이벤트와 변경 기록을 저장하는 기능입니다. 윈도우 환경의 “NTFS $UsnJrnl”과 유사합니다. FSEvents는 파일의 생성, 삭제, 이동 여부를 플래그 형식으로 저장하고 있습니다.

 

# Finder MRU

 Finder는 MacOS에서 사용자에게 제공하는 윈도우의 “탐색기” 역할을 합니다. 사용자는 특정 앱이나 파일에 접근하거나 관리를 목적으로 할 때 Finder를 이용합니다. “Finder MRU”는 사용자가 Finder로 최근에 이용한 항목을 저장합니다. 이를 활용하면 사용자가 접근한 항목과 접근 순서 등의 사용자 행위 파악 정보를 제공받을 수 있습니다.

 

# KnowledgeC

 KnowledgeC는 응용프로그램 활동을 저장하는 데이터베이스입니다. 지도, 메일, 노트, 장치 연결정보, 응용프로그램 포커스 등 다양한 정보를 저장하고 있습니다. iOS에도 제공되는 기능으로 앱 설치/제거 및 사용자 활동 정보를 포함하고 있습니다.

 

# Network Usage

 네트워크 연결 목록을 기본으로 제공하며 응용프로그램이 사용한 네트워크 사용량 등을 나타냅니다. Wi-fi와 같은 무선네트워크 정보도 저장하므로 사용자 활동 정보 등의 정보를 확인할 수 있습니다.

 

# Quarantined Files

 Quarantines Files는 인터넷을 통해 다운로드 받거나 외부에서 전송받은 파일을 격리하고 사용자가 요청 실행 요청시  “보안 대화상자” 를 표시하는 등의 격리 이력 내용을 담고 있습니다. SQLite 데이터베이스 형태로 저장되어 시간 단위를 16진수로 표현합니다. 해당 데이터 분석 시 파일이 생성 된 경로를 파악하는데도 활용이 가능합니다.

 

# Quick Look Thumbnails

 사용자에게 썸네일로 표현된 파일 내역을 저장하는 기능입니다. 그림, 문서, 동영상뿐만 아니라 iWork등의 애플리케이션도 썸네일 정보와 경로, 파일 명 및 볼륨 식별자를 AXIOM으로 확인할 수 있습니다. 

 

# Spotlight Shortcuts

 Spotlight는 MacOS의 내장 검색 엔진으로 파일 및 폴더 검색이나 응용프로그램 실행을 돕는 기능입니다. Shortcuts 정보는 Spotlight으로 사용자가 자주 사용한 기록을 저장하고 사용자가 새로운 작업을 할 때 자주 사용한 작업을 안내하는 기능을 제공합니다.

 

# USB Connection

 USB Connection은 장치에 연결되었던 USB 기록으로 “*.tracev3″와 같은 확장자로 저장됩니다. 웨비나 제공 당시는 Vender 명과 Product 명 분석 결과를 정확하게 제공하지 않아 이를 Serial Number 매칭하여 분석하는 방안을 제시하였습니다.

 

# Apple Accounts

 Apple 기본 계정 사용 정보와 iCloud, Gmail 등 시스템에 연결된 계정 정보를 제공합니다. iCloud로 동기화된 파일, 연락처, 메모 등의 내용도 확인할 수 있습니다.

 

# ETC

 그 외에도 웨비나에서는 MacOS에 저장된 다양한 데이터를 MAGNET AXIOM을 활용하여 분석한 정보를 제공하였습니다. 상단에 소개되지 않은 기타 분석 정보 일부는 다음과 같습니다.

항목 내용
 Daily Logs – Disk Status  디스크 사용량 정보
 Deleted Accounts  삭제된 계정 정보
 Dock Items  시스템 Dock(Menubar) 에 저장한 항목
 Installed Application  설치된 애플리케이션 목록
 Login History  사용자 로그인 기록
 Network Interfaces  장착된 NIC 정보
 Recently Used Items  최근 사용 파일 및 애플리케이션 목록
 Trash Items  휴지통으로 지워진 항목 정보
 Volume Information  시스템 볼륨 정보

 

 AXIOM 사용 중 확인되는 한글 깨짐, 제목 오타, 잘못된 표현 방식 등 분석에 불편함을 주는 많은 문제를 MAGNET社와 소통하여 지속적으로 업데이트 될 수 있도록 지원하고 있습니다.

 웨비나의 전체 영상은 아래 링크에서 확인 하실 수 있습니다.

 업데이트 되는 새로운 정보는 플레인비트 블로그와 MAGNET 홈페이지에서 확인하실 수 있습니다.

About the Author:
Hacktivism 공격 그룹의 공격 행위와 사고 대응에 흥미를 느껴 침해사고 업무를 시작하게 되었다. (주)PLAINBIT 에서는 침해사고 대응, 디지털 증거 분석 및 연구를 진행하고 있으며, 특히 중소기업 대상의 침해사고 사례와 연구에 관심을 두고 있다.

Leave a Comment!

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다