Windows remote collecting using AXIOM Cyber

AXIOM Cyber를 이용한 Windows 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다.

AXIOM Cyber 소개
AXIOM Cyber는 조직에 최적화된 원격 수집을 지원하여, 업무 효율성을 높여주는 Magnet 사의 디지털 포렌식 솔루션이다. AXIOM Cyber는 AXIOM에서 제공하는 모듈(Computer, Mobile, Cloud Vehicle)에 대한 수집을 지원하며, 추가적으로 Ad-hoc 에이전트를 기반한 원격 수집을 수행한다. AXIOM Cyber를 이용한 원격 수집은 ”케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집”

원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 종료되어 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다. 원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정 또한 전부 제거해야 한다.

USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 설정하지 않아도 된다.

  • 수집 대상에 네트워크 연결
  • 수집 대상의 전원선 연결
  • 수집 대상의 화면 잠금 및 보호기 관련 설정 OFF

1. 케이스 생성

케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.

케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.

[그림 1] AXIOM Cyber 라이센스가 활성화된 모습

2. Agent 생성 및 배포

1) Agent 생성

Agent는 "Remote Computer ➡ Create New Agent" 에서 Agent 정보를 입력해 생성한다.

Agent ID는 고유 ID로써, AXIOM에서 자동으로 지정한다. File name은 Agent 실행 파일 명을 지정하는 부분이며, 따로 지정하지 않으면 Agent 라는 이름으로 실행 파일이 생성된다. 다른 이름으로 Agent 실행 파일을 생성하고 싶으면 "(원하는 파일 명)"으로 해당 부분을 수정한다. 확장자를 자동으로 붙여주지 않기 때문에 Windows의 경우 파일명 뒤에 .exe를 꼭 입력해야 한다.

[그림 2] Agent 실행 파일 명을 원하는 이름으로 바꿔준 모습

"Survive shut down of Endpoint" 옵션을 사용하면 수집 종료된 후 에이전트 삭제 여부를 선택할 수 있다. 해당 옵션을 체크하면 수집이 종료된 후 Agent 파일을 실행 및 유지하고 체크하지 않는다면 수집이 종료된 후 에이전트를 종료하고 삭제한다.

[그림 3] 수집이 종료된 후 Agent 종료 및 삭제 여부를 선택하는 설정

2) Agent 배포

"AXIOM Cyber 소개" 글에서 살펴본 것과 같이, Agent 는 총 2가지 방식으로 배포할 수 있다. Agent를 직접 배포할 때는 exFAT 형식의 USB에 생성한 Agent 실행 파일을 복사한 후 수집 대상에 옮기면 된다. 이후 Agent 실행 파일을 더블 클릭하여 실행하면 된다.

[그림 4] 수집 대상 PC에서 Agent를 실행한 모습

Agent를 원격 배포를 하려면 AXIOM의 "Deploy Agent" 기능을 이용해, 필요한 정보 입력 후 수집 대상에 원격 배포하면 된다. Windows에 Agent를 원격 배포 하기 위해 아래와 같은 설정을 해야 한다.

  • 수집 대상에서 원격 서비스에 대한 방화벽 허용 설정
  • 수집 대상의 도메인 계정 사용

수집 대상이 도메인 계정을 사용하지 않는 경우, 레지스트리 편집기로 다음과 같이 설정하면 된다.

  1. "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"에서 DWORD (32bit) 값 생성
  2. 값 이름 : LocalAccountTokenFilterPolicy, 값 데이터 : 1 로 설정
[그림 5] LocalAccountTokenFilterPolicy 정책 생성 값
💡
수집 대상이 Windows일 때 Agent 배포
Windows일 때 Agent는 직접 배포와 원격 배포가 모두 가능하지만 Windows일 때 원격 배포는 수집 대상에서 설정해줘야 옵션이 많고 복잡하기 때문에 직접 배포하는 것을 추천한다.

3. 수집 범위 지정

Agent 연결 상태가 Connected로 바뀌면 아래의 3가지 옵션 중 하나를 선택해 수집 범위를 지정할 수 있다.

  • Targeted Locations : 기본적인 분석에 필요한 파일 혹은 아티팩트를 수집하는 옵션 (AXIOM에서 자체적으로 사전 정의)
  • Files and Drives : 수집 대상 파일 혹은 드라이브를 선택해 수집하는 옵션
  • Memory : 메모리 덤프 혹은 각 프로세스 별 메모리를 수집할 수 있도록 하는 옵션

일반적으로 Files and Drives 옵션에서 수집하고자 하는 드라이브 및 폴더를 선택한다. 수집하고자 하는 드라이브가 선택되지 않는다면, 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더를 선택한다.

[그림 6] 파일 단에서 수집하고자 하는 드라이브의 최상위 폴더 선택

4. 수집

수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.

원격 수집이 완료되면 아래와 같은 팝업 창이 뜬다. 이 팝업 창은 Agent 삭제 여부를 확인하는 창이며, Keep Agent 옵션을 선택하면 Agent를 삭제하지 않고 계속 유지할 수 있다.

[그림 7] 수집 완료 후 뜨는 Agent 삭제 여부 선택 창
💡
주기적인 원격 수집과 Agent 삭제
추후에도 수집 대상을 주기적으로 수집해야 한다면, Agent를 매번 배포하지 말고, 기존에 배포한 Agent를 삭제하지 않고 이용해 수집하는 것을 추천한다.