Magnet Forensics

Introduction to Magnet OUTRIDER

평기문
평기문
6 분 소요

Magnet OUTRIDER란?

Magnet Outrider는 PC나 모바일 기기의 스캔으로 특정 정보를 식별하고, 추출해 내부 콘텐츠의 빠른 분류를 목표하는 도구이다.

Magnet Outrider는 속도, 간편함을 중시하여 개발되었는데, 사용자가 수집하고자 하는 항목들을 템플릿으로 만들어 추후 다른 기기의 데이터 수집 시에 해당 설정을 그대로 사용할 수 있다.

실행 화면

<사진 1> Magnet OUTRIDER 실행 화면

프로그램을 실행하면 <사진 1>과 같은 화면이 나온다.
간편함을 중시하는 도구인 만큼 사전 설정 또한 매우 간략한 것을 볼 수 있다.

순서는 다음과 같다.

  1. 케이스 이름 설정
  2. 스캔 템플릿 선택
  3. 증거물 선택

증거물 선택은 동시에 2개 이상을 진행할 수 있어 번거롭게 여러 번의 작업을 진행할 필요가 없으며, 템플릿의 경우 Magnet AXIOM과 같이 상세하지는 않지만 대상 장비의 전반적인 정보를 확인할 수 있는 수준의 정보를 제공한다.

템플릿 설정

Scan Options

<사진 2> 템플릿 이름, 목록 설정

1. 템플릿 이름을 설정한다.
2. 사용할 OS 옵션을 선택한다.

Magnet OUTRIDER가 지원하는 OS
Windows, OSX (macOS), Android, iOS

Files & Apps Options

<사진 3> 파일, 어플리케이션 설정
  1. 사전 정의된 키워드 리스트를 통해 파일을 검색한다.
  2. 키워드 단어가 정확히 일치하는 경우만 나열한다.
  3. 사용자가 설정한 정규식에 맞게 파일을 검색한다.
  4. 다크 웹, 암호화, VPN과 같은 기능을 가진 알려진 어플리케이션을 검색한다.
  5. 암호 화폐 지갑, 클라우드 복호화 키 등의 중요 파일을 검색한다.
  6. ZIP 파일 내부에 키워드가 일치하는 파일이 있는 지 검색한다. 해당 기능은 암호화 된 압축 파일도 검색 기능을 제공한다.
  7. 우선 경로를 탐색한다. 유저 마다 이하의 모든 경로를 탐색한다.
Magnet OUTRIDER 우선 경로
- 브라우저 기록 폴더
- 문서 폴더
- 다운로드 폴더
- 바탕 화면
- 사진 폴더
- 영화 폴더

해당 옵션을 선택하지 않더라도 브라우저 기록을 제외한 폴더는 검색을 진행하며, 수집 프로세스에서 후순위로 밀리게 된다.
하지만 스캔 작업 자체가 오랜 시간이 소요되는 작업이 아니므로 브라우저 기록 수집 목적 이외의 큰 이유는 없다.

8. 제공된 MD5 해시를 통해 파일을 검색한다.

9. NCMEC에서 제공된 CyberTipline 파일을 통해 파일을 검색한다.
아동 성 착취 관련 정 보를 신고 받아 xml 형태로 정리한 문서를 말한다.

4-5번의 경우 지원 파일·어플리케이션 목록을 Magnet에서 문서화한 자료가 있다.
26페이지부터 확인할 수 있다.

https://www.magnetforensics.com/docs/outrider/html/Content/Resources/PDFs/Magnet%20OUTRIDER%20User%20Guide.pdf

Artifacts, Live system Options

<사진 4> 아티팩트, 활성 데이터 수집 설정

다음으로 아티팩트, 활성 데이터 정보이다.
활성 데이터 옵션 대부분은 윈도우 운영체제만 사용할 수 있다.

  1. 제공한 키워드 리스트로 브라우저 기록을 검사한다. (제목, URL)
  2. 윈도우 운영체제 아티팩트를 수집한다. 수집 정보는 이하과 같다.
  3. 램을 수집한다.
  4. 바탕화면 스크린샷을 저장한다. 모든 창이 최소화된다.
  5. 스크린샷 촬영 전 OUTRIDER 창만 최소화한다.
  6. 실행 중인 프로세스를 수집한다.
  7. 연결된 네트워크 정보를 수집한다.
  8. OUTRIDER가 실행 중인 장치의 IP를 수집한다.
수집 윈도우 아티팩트
- USB 연결 기록
- 최근 로그인 한 사용자
- 외부 저장장치, 라우팅, 방화벽, 저장된 Wi-Fi 정보
- 공유 드라이브 정보
- 사용자 계정 정보
- 운영체제 정보
- 설치 된 프로그램 목록
- 활성 네트워크 정보
- 예약된 작업 목록
- 윈도우 서비스 목록
- Prefetch 파일 정보
- 실행 중인 프로세스
- 접근 가능한 Wi-Fi 정보

Mobile, Reporting Options

<사진 5> 모바일, 리포트 설정

마지막으로 모바일·리포트 설정이다.
같이 설명될 CSAM(아동 성 착취 콘텐츠) 관련 설정의 경우 법 집행 기관 이메일 인증 후 사용 가능하다. (Law Enforcement)

  1. 키워드 일치 여부에 관계 없이 유저 정보를 수집한다.
  2. 키워드 일치 여부 상관 없이 모든 MMS 첨부자료를 수집한다.
  3. 키워드가 일치하는 MMS의 첨부자료를 수집한다.
  4. 확장자에 관계 없이 CSAM 검출 기술을 사용해 모든 파일을 검사한다.
  5. 해시, CSAM 검출에 한해 이미지 썸네일을 저장한다.
  6. Magnet OUTRIDER에 의해 검출된 모든 파일 경로를 저장한다.
    해당 작업은 소요 시간 및 pathlist.exe 파일 용량의 크기를 증가 시킬 수 있다.

이와 같이 Magnet OUTRIDER는 간단하지만 필수적인 기능은 모두 제공하는 도구다.
분석할 PC가 많거나 대략적인 위협 정보를 간단하게 스캔할 필요가 있을 때, 분석 프로세스를 눈에 띄게 줄여주는 이 도구는 분명 매력적인 선택이 될 것이다.

평기문

평기문

DFIR Analyst / 연구개발센터 소속
Press ESC to close.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.