Introduction to AXIOM Cyber

AXIOM Cyber는 조직에 최적화된 원격 수집을 지원하여, 업무 효율성을 높여주는 Magnet 사의 디지털 포렌식 솔루션이다. AXIOM Cyber는 AXIOM에서 제공하는 모듈(Computer, Mobile, Cloud Vehicle)에 대한 수집을 지원하며, 추가적으로 Ad-hoc 에이전트를 기반한 원격 수집을 수행한다.

[그림 1] AXIOM Cyber 라이센스가 활성화된 모습

AXIOM Cyber를 이용한 원격 수집은 "케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집" 이렇게 총 4단계로 이루어진다. 아래의 4단계는 AXIOM Cyber에서 수집을 제공하는 모든 OS(Windows, mac OS, Linux)의 데이터 원격 수집에 있어서 동일하게 진행된다.

[그림 2] AXIOM Cyber 원격 수집 단계
☁️
클라우드 서비스 원격 수집 단계
클라우드 데이터를 원격 수집할 때는 PC 데이터 원격 수집과 다르게 아래의 4단계로 수집이 진행된다.
1. 케이스 생성
2. 클라우스 서비스 원격 수집을 위한 추가 클라우드 설정
3. 수집 범위 지정
4. 수집

AXIOM Cyber 기능

1) 다른 네트워크 대역의 증거물 원격 수집

AXIOM Cyber는 에이전트를 이용해 다른 네트워크의 시스템과 원격 연결해 데이터를 수집할 수 있다. 서로 식별 가능한 IP 주소가 할당되어 있다면 내부-내부, 내부-외부, 외부-외부 간의 원격 수집이 가능하다.

2) 향상된 클라우드 수집 기능

AXIOM Cloud에서 지원하는 클라우드 서비스 이외에도 AWS S3, EC2, Azure 가상머신, MS Teams 클라우드 서비스, Slack과 같은 클라우드 서비스에서도 데이터를 수집한다. 이 때 AXIOM Cyber는 관리자 자격 증명을 사용하여 Office 365, G Suite 등에서 데이터를 수집한다.

3) 강력한 분석 기능 제공

AXIOM Cyber는 강력한 분석 기능을 제공하며, 대표적으로는 YARA Rlue 기반의 탐지 기능과 이메일을 분석할 수 있는 별도의 Email Explorer를 제공한다. 또한 Timeline, Connections, MAGNET.AI와 같은 분석 기능도 제공한다.

4) 증거 통합

PC, 모바일 기기 및 MAC등 다양한 소스의 증거를 하나의 케이스 파일로 통합 가능하다.

AXIOM Cyber Agent

AXIOM Cyber는 원격 수집을 할 때 Agent 라는 수집기를 이용하며, 이를 수집 대상 PC에 배포해 수집 대상과 연결한다. Agent의 상세 설명은 아래와 같다.

1) Agent

AXIOM Cyber의 Agent는 수집 대상과의 연결 및 데이터 수집을 지원하는 독립 실행형 프로그램이다. Agent의 기본 생성 경로는 "C:\(agent_name)" 이며, 배포나 원격 연결을 하려면 로컬 방화벽을 허용해주거나 방화벽 해제가 필요하다.

2) 원격 수집 구조

AXIOM Cyber는 Ad-hoc 네트워크를 기반으로 Agent를 배포해 원격 수집이 이뤄진다. 이 때 Agent는 Ad-hoc 네트워크가 아닌 다른 방식(ex. USB를 이용한 배포, 이메일을 이용한 배포 등)으로도 배포가 가능하다.

[그림 3] Agent 연결 구조

Agent에서 분석가 시스템으로 연결되는 이유는 수집 대상의 정확한 위치를 알지 못해도 배포된 Agent가 분석가 시스템으로 자동 연결할 수 있기 때문이다.

3) Agent 배포 방법

a. 원격 배포 (Ad-hoc 네트워크 이용)

Agent 원격 배포는Ad-hoc 네트워크 기반의 AXIOM Cyber의 자체 기능인 "DEPLOY AGNET"로 배포할 수 있다. 배포는 윈도우, 리눅스, macOS를 지원하므로 각 운영체제에 맞는 Agent를 생성한 후 해당 파일을 배포하면 된다. 배포된 Agent를 실행하면 자동으로 분석가의 시스템과 연결되어 수집을 진행할 수 있다.

b. 직접 배포 (USB, 이메일 등을 이용)

Agent 직접 배포는 USB나 이메일 등을 이용해 Agent 실행 파일을 수집 대상 시스템으로 옮기는 방식이다. Agent를 직접 배포하는 경우에는 수집 대상 시스템에서 직접 실행해줘야 한다. 각 OS별 Agent 실행 방법은 다음과 같다.

  • Windows : (agent_name).exe 파일 더블 클릭하여 관리자 권한으로 실행
  • macOS : (agent_name).zip 파일을 더블 클릭해 생성된 실행 파일 실행
  • Linux : sudo ./(agent_name) 또는 ./(agent_name)
💡
sudo ./(agent_name) vs ./(agent_name)
권한 차이로 수집 데이터의 차이가 발생할 수 있으므로 가능하면 sudo ./(agent_name) 을 사용하는 것을 추천한다.