MacOS remote collecting using AXIOM Cyber

AXIOM Cyber를 이용한 macOS 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다.

AXIOM Cyber 소개
AXIOM Cyber는 조직에 최적화된 원격 수집을 지원하여, 업무 효율성을 높여주는 Magnet 사의 디지털 포렌식 솔루션이다. AXIOM Cyber는 AXIOM에서 제공하는 모듈(Computer, Mobile, Cloud Vehicle)에 대한 수집을 지원하며, 추가적으로 Ad-hoc 에이전트를 기반한 원격 수집을 수행한다. AXIOM Cyber를 이용한 원격 수집은 ”케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집”

원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.

원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. 또한, 원격 로그인을 위해 SSH 설치 후 IP주소를 확인하고 기록해둬야 한다.

USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.

  • 수집 대상에 네트워크 연결
  • 수집 대상의 전원선 연결
  • 수집 대상의 화면 잠금 및 보호기 관련 설정 off
  • 수집 대상에 SSH 설치 후 IP주소 확인

1. 케이스 생성

케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.

케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.

[그림 1] AXIOM Cyber 라이센스가 활성화된 모습

2. Agent 생성 및 배포

1) Agent 생성

Agent는 "Remote Computer ➡ Create New Agent" 에서 Agent 정보를 입력해 생성한다.

Agent ID는 고유 ID로써, AXIOM에서 자동으로 지정한다. File name은 Agent 실행 파일 명을 지정하는 부분이며, 따로 지정하지 않으면 Agent 라는 이름으로 실행 파일이 생성된다. 다른 이름으로 Agent 실행 파일을 생성하고 싶으면 "(원하는 파일 명)"으로 해당 부분을 수정한다. macOS 같은 경우 Windows 와 다르게 파일 생성 시 .exe를 붙여주지 않아도 실행 파일 형태로 Agent가 생성된다.

[그림 2] Agent 실행 파일 명을 원하는 모습으로 바꿔준 모습

Agent를 생성할 때 "Survive shut down of Endpoint" 옵션으로 수집이 종료된 후 에이전트 삭제 여부를 선택할 수 있다. 체크 박스를 체크하면 수집이 종료된 후 Agent 파일을 실행 및 유지하고 체크하지 않는다면 수집이 종료된 후 에이전트를 종료하고 삭제한다.

[그림 3] 수집이 종료된 후 Agent 종료 및 삭제 여부를 선택하는 설정

2) Agent 배포

"AXIOM Cyber 소개" 글에서 살펴본 것과 같이, Agent 는 총 2가지 방식으로 배포할 수 있다. Agent를 원격 배포 할 때는 AXIOM의 "Deploy Agent" 기능을 이용하며, 필요한 정보 입력 후 수집 대상에 Agent를 원격 배포한다.

[그림 4] Deploy Agent를 위해 필요한 정보 입력

Agent를 직접 배포하려면 exFAT으로 포맷된 USB에 생성한 Agent 실행 파일을 복사한 후 수집 대상에 옮기면 된다. Agent 실행 파일을 터미널에서 sudo ./(agent_name) 명령어를 실행해주면 된다. 이메일로 직접 배포하는 경우도 동일한 방식을 이용한다.

[그림 5] 터미널에서 sudo ./(Agent 명)의 명령어로 Agent 파일을 실행하는 모습

3. 수집 범위 지정

macOS의 경우 원격 수집을 진행할 때 아래와 같은 팝업 창이 뜬다. 이는 프로세싱전에 파일 시스템 구조와 파일의 메타 데이터를 인덱싱할지 여부에 대해 설정할 수 있다. 아래의 사진과 같이 체크하고 원격 수집을 진행하면, 프로세싱할 때 인덱싱이 진행되고 추후 분석 시 빠르게 검색과 필터링을 수행할 수 있다. 되도록 체크하고 진행하는 것이 추천한다.

[그림 6] 사전 인덱싱 여부를 체크하는 팝업 창

Agent 연결 상태가 Connected로 바뀌면 아래의 3가지 옵션 중 하나를 선택해 수집 범위를 지정할 수 있다.

  • Targeted Locations : 기본적인 분석에 필요한 파일 혹은 아티팩트를 수집하는 옵션 (AXIOM에서 자체적으로 사전 정의)
  • Files and Drives : 수집 대상 파일 혹은 드라이브를 선택해 수집하는 옵션
  • Memory : 메모리 덤프 혹은 각 프로세스 별 메모리를 수집할 수 있도록 하는 옵션

일반적으로 Files and Drives 옵션에서 수집하고자 하는 드라이브 및 폴더를 선택한다. 수집하고자 하는 드라이브가 선택되지 않는다면, 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더를 선택한다.

[그림 7] 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더 선택

4. 수집

수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.

💡
수집되는 파일 형식 설정
AXIOM Process 상단의 Tools -> Settings에서 Container 포맷 형식을 지정할 수 있다. 기본 설정은 zip이며, aff4 형식으로 데이터를 수집하고 싶다면, aff4로 지정하면 된다.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.