macOS remote collecting using AXIOM Cyber
AXIOM Cyber를 이용한 macOS 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다.
원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.
원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.
- 수집 대상에 네트워크 연결
- 수집 대상의 전원선 연결
- 수집 대상의 화면 잠금 및 보호기 관련 설정 off
1. 케이스 생성
케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.
케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.
2. Agent 생성 및 배포
1) Agent 생성
Agent는 "Remote Computer ➡ Create New Agent" 에서 Agent 정보를 입력해 생성한다.
Agent ID는 고유 ID로써, AXIOM에서 자동으로 지정한다. File name은 Agent 실행 파일 명을 지정하는 부분이며, 따로 지정하지 않으면 Agent 라는 이름으로 실행 파일이 생성된다. 다른 이름으로 Agent 실행 파일을 생성하고 싶으면 "(원하는 파일 명)"으로 해당 부분을 수정한다. macOS 같은 경우 Windows 와 다르게 파일 생성 시 .exe를 붙여주지 않아도 실행 파일 형태로 Agent가 생성된다.
Agent를 생성할 때 "Survive shut down of Endpoint" 옵션으로 수집이 종료된 후 에이전트 삭제 여부를 선택할 수 있다. 체크 박스를 체크하면 수집이 종료된 후 Agent 파일을 실행 및 유지하고 체크하지 않는다면 수집이 종료된 후 에이전트를 종료하고 삭제한다.
2) Agent 배포
"AXIOM Cyber 소개" 글에서 살펴본 것과 같이, Agent 는 총 2가지 방식으로 배포할 수 있다. Agent를 원격 배포 할 때는 AXIOM의 "Deploy Agent" 기능을 이용하며, 필요한 정보 입력 후 수집 대상에 Agent를 원격 배포한다.
Agent를 직접 배포하려면 exFAT으로 포맷된 USB에 생성된 Agent 폴더 내 모든 파일을 복사한 후 수집 대상에 옮기면 된다. AXIOM Cyber 7.4 이후 버전부터 macOS의 Agent는 서명파일(.cfg)를 포함하고 있다.
Agent 파일 직접 배포 후 분석가 PC와 연결하기 위해서는 수집 대상에 배포된 (agent_name).zip을 더블 클릭해 실행 파일을 먼저 생성한다. 이후 생성된 실행 파일을 더블 클릭으로 실행시켜주면 된다.
3. 수집 범위 지정
macOS의 경우 원격 수집을 진행할 때 아래와 같은 팝업 창이 뜬다. 이는 프로세싱 전에 파일 시스템 구조와 파일의 메타 데이터를 인덱싱할지 여부에 대해 설정할 수 있다. 아래의 사진과 같이 체크하고 원격 수집을 진행하면, 프로세싱할 때 인덱싱이 진행되고 추후 분석 시 빠르게 검색과 필터링을 수행할 수 있다. 되도록 체크하고 진행하는 것이 추천한다.
Agent 연결 상태가 Connected로 바뀌면 아래의 3가지 옵션 중 하나를 선택해 수집 범위를 지정할 수 있다.
- Targeted Locations : 기본적인 분석에 필요한 파일 혹은 아티팩트를 수집하는 옵션 (AXIOM에서 자체적으로 사전 정의)
- Files and Drives : 수집 대상 파일 혹은 드라이브를 선택해 수집하는 옵션
- Memory : 메모리 덤프 혹은 각 프로세스 별 메모리를 수집할 수 있도록 하는 옵션
일반적으로 Files and Drives 옵션에서 수집하고자 하는 드라이브 및 폴더를 선택한다. 수집하고자 하는 드라이브가 선택되지 않는다면, 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더를 선택한다.
4. 수집
수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.
AXIOM Process 상단의 Tools -> Settings에서 Container 포맷 형식을 지정할 수 있다. 기본 설정은 zip이며, aff4 형식으로 데이터를 수집하고 싶다면, aff4로 지정하면 된다.