Magnet Forensics

Remote Collecting using Magnet IGNITE

안혜송
안혜송
7 분 소요

이 글에서는 IGNITE 수집 단계에 대해 설명하고, 원격 수집하는 방법에 대해 다룬다. 이 글을 읽기 전 Introduce Magnet IGNITE를 먼저 읽는 것을 추천한다.

IGNITE를 이용한 수집은 3단계(케이스 생성 & Agent 생성 → Agent 배포 → 수집)로 이루어진다.

[그림 1] IGNITE 수집 단계

1. 케이스 생성 & 수집 Artifacts 지정

지원되는 브라우저(Chrome, Firefox, Edge)에서 웹사이트(Magnet IGNITE)에 접속한 후 이메일 주소를 사용해 로그인하면 케이스 목록을 확인할 수 있고, 'CREATE CASE'를 선택해 새로운 케이스를 만들 수 있다.

[그림 2] CREATE CASE 화면

1.1 케이스 세부 사항 설정

먼저 케이스의 이름을 입력하고, 지역을 선택해 준다.

[그림 3] Case Details 화면

1.2 Agent 세팅

'Agent Settings'의 'ARTIFACTS FOR'에서 'WINDOWS', 'LINUX' 버튼을 클릭하면 선택된 운영체제와 관련된 아티팩트만 볼 수 있다.

'Memory'를 선택하면 RAM을 캡쳐할 수 있으나, 업로드하고 처리하는 데 시간이 필요할 수 있다.

[그림 4] Agent Settings 화면

'YARA Rules'에서는 'Run Magnet’s set of YARA rules'와 'Run Custom Rules' 두 가지 선택이 가능하다. 'YARA Rules'를 체크하면 File Log는 자동으로 선택된다.

  • Run Magnet’s set of YARA rules : 마그넷에서 제공하는 YARA Rules를 볼 수 있다. YARA 룰 검색이 가능하며, 필요한 것들을 선택해서 수집하는 것도 가능하다.
  • Run Custom Rules : 사용자가 만든 YARA Rules를 업로드 해서 수집을 할 수 있다.
[그림 5] 마그넷에서 제공하는 YARA Rules 목록
[그림 6] Run Custom Rules 화면

'Artifacts'에서 수집할 아티팩트(Internet Activity, File Activity, System Activity, Removable Device Activity, Network Activity, Incident Response, Live System, File Log, Optional Keywords)를 선택한다. 아티팩트에 관련된 설명은 아래 표에 정리해 두었다.

[그림 7] Artifacts 화면 (1)
[그림 8] Artifacts 화면 (2)

2. Agent 배포

생성된 케이스의 'DOWNLOAD AGENT' 또는 'DOWNLOAD COVERT AGENT'를 선택해 직접 다운로드 할 수 있고, 'Copy' 버튼을 눌러 다운로드 링크를 복사할 수 있다. (Agent에 관한 내용은 Introduce Magnet IGNITE를 참고하세요.)

[그림 9] Agent 배포 화면

3. 수집하기

케이스의 Agent 다운로드 링크에서 'IgniteAgent.exe' 애플리케이션을 다운로드 받거나, 로컬로 내려받은 'IgniteAgent.exe' 애플리케이션을 수집하고자 하는 엔드포인트로 옮긴다.

[그림 10] Agent 다운로드 화면

'IgniteAgent.exe' 애플리케이션을 실행하면 아래 그림과 같이 CLI 창이 보이고, 현재 작동하는 명령들이 보인다.

[그림 11] IgniteAgent.exe 실행 화면

수집이 되는 동안에 엔드포인트의 상태는 [그림 12]처럼 'Scanning..'으로 표시되며 수집이 완료되면 [그림 13]처럼 자물쇠 아이콘과 함께 'Done'으로 상태가 변경된다. 정보를 확인하고 다운로드하기 위해 credit를 사용해서 잠금을 해제해야 한다.

[그림 12] 수집 중일 때 화면
[그림 13] 수집 완료 화면

'OPEN'을 클릭하면 아래 그림과 같은 수집 정보를 확인할 수 있다. 왼쪽 목록에 'LIVE SYSTEM'을 제외한 나머지 Artifacts는 잠겨있는 것을 확인할 수 있다.

[그림 14] 수집 정보 화면

Credit을 사용해 수집 데이터 잠금을 해제한다. 잠금이 해제되면 초기 분석 후 확인이 필요한 데이터가 목록으로 제공된다.

[그림 15] 수집 데이터 화면

'FILTERS'에서 해당 날짜, 단어, 사용자가 선택한 태그에 대해 결과를 모아 볼 수 있다.

[그림 16] FILTERS 화면

또한, 잠금이 해제되면 케이스 목록에서 아래 그림과 같이 수집된 데이터와 분석된 데이터를 다운로드 받을 수 있다. 메모리 수집을 한 경우 'Memory-COLECTION.dmp'파일과 'Memory-CSV.zip' 파일을 내려받을 수 있고, 아티팩트 수집을 한 경우 'AXIOM.zip', 'COLECTION.zip', 'CSV.zip' 파일을 내려받을 수 있다.

[그림 17] 지원되는 다운로드 파일 목록
[그림 18] IGNITE 데이터 다운로드
💡
엔드포인트 필요 조건
- 윈도우 8 이상
- 인터넷 연결 안정
- 엔드포인트 보호 비활성화

4. AXIOM로 데이터 심층 분석하기

'케이스 명 - 엔드포인트 명 - AXIOM.zip' 압축을 풀면 'AXIOM.Case' 폴더와 'Image.zip' 파일이 생긴다. AXIOM이 설치된 분석가 PC에서 'AXIOM.Case' 폴더의 'Case.mfdb'를 확인할 수 있다.

[그림 19] 엔드포인트 명 - 'AXIOM.Case' 폴더

[그림 20]과 [그림 21]은 각각 IGNITE에서 보이는 분석 화면, AXIOM에서 'Case.mfdb' 파일을 불러온 화면이다.

[그림 20] IGNITE 분석 결과 화면
[그림 21] AXIOM에서 'Case.mfdb'를 열었을 때 화면

IGNITE에서는 의심되는 정보만 제공하고 있기 때문에 같은 Web 관련 아티팩트 목록이지만 개수에 차이가 있다. 이 정보를 바탕으로 정밀한 조사가 필요하다 판단되면 결과를 내려받아 AXIOM이나 AXIOM Cyber 등의 프로그램으로 자세하게 조사할 수 있다.

안혜송

안혜송

포렌식과 암호화폐 추적에 관심이 있다.
Press ESC to close.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.