2020년 1월 PLAINBIT는 국내 “MAGNET AXIOM” 고객을 대상으로 웨비나를 진행하였습니다. 진행된 웨비나는 2019년 말 “MAGNET AXIOM 3.0” 업데이트 소식을 다룬 내용 이후 두 번째로, 달라진 MacOS 환경에 대응하기 위한 아티팩트 소개 및 분석을 다루는 시간이었습니다.
첫 번째 웨비나의 시청을 원하시는 경우 아래 영상에서 참고하실 수 있습니다.
이번 포스팅은 웨비나 내용을 살펴보며 케이스 생성부터 분석 방안까지 업데이트 내용을 다시 한번 확인하고 업무에 활용 가능한 기능 소개를 위해 작성되었습니다.
MacOS 주요 내용
# HFS+ vs APFS
APFS는 “Apple File System”의 약자로 1998년 이후부터 사용한 HFS/HFS+를 대체하기 위한 애플의 차세대 파일시스템입니다. 애플은 최근 iPhone, iPad, Apple Watch뿐만 아니라 Apple TV까지 APFS 파일시스템 적용 범위를 확대하고 있습니다. HFS+와 APFS 환경의 기본적인 변경 내용은 다음과 같습니다.
# 암호 공격
암호는 비인가자의 접근 및 사용 방지를 목적으로 하지만 범죄에 사용된 시스템의 내용 확인 등에서는 암호 해제 문제에 직면하는 대상이기도 합니다. APFS에서는 로그인을 시도할 수 있는 대상별 횟수가 지정되어 있습니다.
그리고 각 암호 공격에 실패할 경우 시도 횟수별 재입력 지연 시간은 아래와 같이 정의됩니다.
# System Integrity Protection (SIP)
Unix 기반의 시스템은 root 계정으로 전체 권한을 가지게 됩니다. 이에 MacOS에서는 El Capitan(10.11) 이상 버전에서 SIP 기능을 제공, 주요 파일 시스템 내용을 보호하고 있습니다. 이는 코드 인젝션, DTrace 내용, 서명되지 않은 커널 모듈 로드를 제한하여 시스템을 보호하고 있습니다.
- 파일 시스템 권한 보호 대상
- /System
- /usr
- /sbin
- 기본으로 사전에 설치된 앱
SIP 기능은 분석 대상 시스템을 root 계정으로 운영하더라도 주요 파일 시스템 대상 접근이 불가능하여 라이브 환경에서의 이미징 및 데이터 수집 작업에 어려움을 주는 단점도 제공합니다.
# Mac 수집 도구
여러 상용 Mac 수집 도구는 환경에 맞추어 지속해서 발전하며 이미징 결과를 제공하고 있습니다. 만약 APFS 볼륨 암호화 키를 알고 있다면 복구 모드 환경에서 dd 명령어로 수집이 가능하지만 전문 도구를 이용하면 더욱 안전하고 정확한 이미징 결과를 제공받을 수 있습니다. 아래 표는 주요 수집 도구의 기능표로, 도구가 제공할 수 있는 기능 범위를 나타냅니다.
데모
아래 내용은 웨비나에서 다룬 주요 기능과 분석 방법을 분류하여 영상과 함께 정리한 내용입니다.
- PC로 확인하시면 각 기능에 맞는 내용만 시청하실 수 있습니다.
# 케이스 생성
분석을 위해 가장 먼저 분석 대상 케이스 생성이 필요합니다.
MacOS 분석을 위한 케이스 생성 상세 설명은 아래 영상에서 참고하실 수 있습니다.
# .DS_Store
“.DS_Store”는 “Desktop Service Store” 파일로 사용자가 MacOS의 Finder로 디렉터리에 접근할 경우 디렉터리 메타데이터를 저장하는 역할을 합니다. 데이터에는 데이터 크기, 수정 시작, 아이콘 위치, 폴더 배경, 보기 스타일 등의 파일 정보를 담고 있습니다. 윈도우 운영체제에서는 “Desktop.ini”로 제공되는 것과 유사한 역할을 합니다.
# AirDrop
AirDrop은 Apple 社의 제품 간 사진, 비디오, 메모, 위치 등을 공유 전송할 때 사용하는 무선 통신 파일공유시스템입니다. MacOS는 Lion 버전 이상, iOS는 7 이상부터 지원하기 시작하여 기기의 Wi-Fi나 Bluetooth로 데이터를 전송합니다. MacOS에서는 “/var/db”에 사용 기록을 저장하며 각각 “diagnostics”와 “uuidtext” 디렉터리로 관리됩니다.
# Bash History
MacOS는 시스템 기본 셸로 Bash shell을 사용합니다. Bash shell을 사용하면 .bash_history에 사용 기록이 저장되어 이를 분석할 때 명령어 사용 내역, 시스템 사용 시간 등을 파악할 수 있습니다. 기본 터미널이 아닌 “iTerm2″와 같은 애플리케이션 사용 내역 분석도 제공하고 있습니다.
# CoreAnalytics
MacOS 10.13 High Sierra 이상 버전에서 제공하는 “Mach-O” 기록 분석을 지원합니다. “Mach-O”는 Mach Object file format”의 약자로 윈도우의 PE, unix 계열의 ELF와 같이 MacOS에서의 바이너리 형식을 의미합니다. 분석 시 특정 프로세스가 Foreground로 실행된 총 실행 시각, 애플리케이션 진단 시각 등의 정보를 제공받을 수 있습니다.
# FSEvents
FSEvents는 파일시스템 이벤트와 변경 기록을 저장하는 기능입니다. 윈도우 환경의 “NTFS $UsnJrnl”과 유사합니다. FSEvents는 파일의 생성, 삭제, 이동 여부를 플래그 형식으로 저장하고 있습니다.
# Finder MRU
Finder는 MacOS에서 사용자에게 제공하는 윈도우의 “탐색기” 역할을 합니다. 사용자는 특정 앱이나 파일에 접근하거나 관리를 목적으로 할 때 Finder를 이용합니다. “Finder MRU”는 사용자가 Finder로 최근에 이용한 항목을 저장합니다. 이를 활용하면 사용자가 접근한 항목과 접근 순서 등의 사용자 행위 파악 정보를 제공받을 수 있습니다.
# KnowledgeC
KnowledgeC는 응용프로그램 활동을 저장하는 데이터베이스입니다. 지도, 메일, 노트, 장치 연결 정보, 응용프로그램 포커스 등 다양한 정보를 저장하고 있습니다. iOS에도 제공되는 기능으로 앱 설치/제거 및 사용자 활동 정보를 포함하고 있습니다.
# Network Usage
네트워크 연결 목록을 기본으로 제공하며 응용프로그램이 사용한 네트워크 사용량 등을 나타냅니다. Wi-fi와 같은 무선네트워크 정보도 저장하므로 사용자 활동 정보 등의 정보를 확인할 수 있습니다.
# Quarantined Files
Quarantines Files는 인터넷을 통해 다운로드 받거나 외부에서 전송받은 파일을 격리하고 사용자가 요청 실행 요청 시 “보안 대화상자”를 표시하는 등의 격리 이력 내용을 담고 있습니다. SQLite 데이터베이스 형태로 저장되어 시간 단위를 16진수로 표현합니다. 해당 데이터 분석 시 파일이 생성된 경로를 파악하는 데도 활용할 수 있습니다.
# Quick Look Thumbnails
사용자에게 썸네일로 표현된 파일 내역을 저장하는 기능입니다. 그림, 문서, 동영상뿐만 아니라 iWork등의 애플리케이션도 썸네일 정보와 경로, 파일 명 및 볼륨 식별자를 AXIOM으로 확인할 수 있습니다.
# Spotlight Shortcuts
Spotlight는 MacOS의 내장 검색 엔진으로 파일 및 폴더 검색이나 응용프로그램 실행을 돕는 기능입니다. Shortcuts 정보는 Spotlight으로 사용자가 자주 사용한 기록을 저장하고 사용자가 새로운 작업을 할 때 자주 사용한 작업을 안내하는 기능을 제공합니다.
# USB Connection
USB Connection은 장치에 연결되었던 USB 기록으로 “*.tracev3″와 같은 확장자로 저장됩니다. 웨비나 제공 당시는 Vender 명과 Product 명 분석 결과를 정확하게 제공하지 않아 이를 Serial Number 매칭하여 분석하는 방안을 제시하였습니다.
# Apple Accounts
Apple 기본 계정 사용 정보와 iCloud, Gmail 등 시스템에 연결된 계정 정보를 제공합니다. iCloud로 동기화된 파일, 연락처, 메모 등의 내용도 확인할 수 있습니다.
# ETC
그 외에도 웨비나에서는 MacOS에 저장된 다양한 데이터를 MAGNET AXIOM을 활용하여 분석한 정보를 제공하였습니다. 상단에 소개되지 않은 기타 분석 정보 일부는 다음과 같습니다.
마치며...
PLAINBIT는 AXIOM 사용 중 확인되는 한글 깨짐, 제목 오타, 잘못된 표현 방식 등 분석에 불편함을 주는 많은 문제를 MAGNET社와 소통하여 지속적으로 업데이트 될 수 있도록 지원하고 있습니다.
웨비나의 전체 영상은 아래 링크에서 확인 하실 수 있습니다.
업데이트 되는 새로운 정보는 MAGNET 홈페이지에서 확인하실 수 있습니다.
