AXIOM Cyber를 이용한 Linux 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다.
원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.
원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. 또한, 원격 로그인을 위해 SSH 설치 후 IP주소를 확인하고 기록해둬야 한다.
USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.
- 수집 대상에 네트워크 연결
- 수집 대상의 전원선 연결
- 수집 대상의 화면 잠금 및 보호기 관련 설정 off
- 수집 대상에 SSH 설치 후 IP주소 확인
1. 케이스 생성
케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.
케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.
2. Agent 생성 및 배포
1) Agent 생성
Agent는 "Remote Computer ➡ Create New Agent" 에서 Agent 정보를 입력해 생성한다.
Agent ID는 고유 ID로써, AXIOM에서 자동으로 지정한다. File name은 Agent 실행 파일 명을 지정하는 부분이며, 따로 지정하지 않으면 Agent 라는 이름으로 실행 파일이 생성된다. 다른 이름으로 Agent 실행 파일을 생성하고 싶으면 "(원하는 파일 명)"으로 해당 부분을 수정한다. Linux 같은 경우 Windows 와 다르게 파일 생성 시 .exe를 붙여주지 않아도 실행 파일 형태로 Agent가 생성된다.
Agent를 생성할 때 "Survive shut down of Endpoint" 옵션으로 수집이 종료된 후 에이전트 삭제 여부를 선택할 수 있다. 체크 박스를 체크하면 수집이 종료된 후 Agent 파일을 실행 및 유지하고 체크하지 않는다면 수집이 종료된 후 에이전트를 종료하고 삭제한다.
2) Agent 배포
"AXIOM Cyber 소개" 글에서 살펴본 것과 같이, Agent 는 총 2가지 방식으로 배포할 수 있다. Agent를 원격 배포 할 때는 AXIOM의 "Deploy Agent" 기능을 이용하며, 필요한 정보 입력 후 수집 대상에 Agent를 원격 배포한다.
Agent를 직접 배포하려면 exFAT으로 포맷된 USB에 생성한 Agent 실행 파일을 복사한 후 수집 대상에 옮기면 된다. Agent 실행 파일을 터미널에서 'sudo ./(agent_name)' 명령어를 실행해주면 된다. 이메일로 직접 배포하는 경우도 동일한 방식을 이용한다.
3. 수집 범위 지정
Agent 연결 상태가 Connected로 바뀌면 아래의 3가지 옵션 중 하나를 선택해 수집 범위를 지정할 수 있다.
- Targeted Locations : 기본적인 분석에 필요한 파일 혹은 아티팩트를 수집하는 옵션 (AXIOM에서 자체적으로 사전 정의)
- Files and Drives : 수집 대상 파일 혹은 드라이브를 선택해 수집하는 옵션
- Memory : 메모리 덤프 혹은 각 프로세스 별 메모리를 수집할 수 있도록 하는 옵션
일반적으로 Files and Drives 옵션에서 수집하고자 하는 드라이브 및 폴더를 선택한다. 수집하고자 하는 드라이브가 선택되지 않는다면, 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더를 선택한다.
4. 수집
수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.