포포포포렌식 #2

# IOC?

IOC는 Indicator Of Compromis의 약자로 침해지표는 침해 상황을 식별할 수 있는 포렌식 아티팩트라고 한다. 일종의 IDS와 같다고 생각된다.

특정 침해 상황을 미리 지정해 놓고 그에 상응하는 침해 결과가 나오게 되면 미리 작성된 침해지표를 통해 탐지가 가능한 것이다.

< dailysecu 침해지표 분류 >

보면 다양한 지표가 있다. 문제에서 예시로 나온 hosts 파일 변조의 경우 파일 변조를 위해 접근한 경로를 파악하는 부분에서 '침해 유입 지표', 이후 변조된 hosts파일의 경로로 링크되는 '침해 실행 지표' 등을 생각 해 볼 수 있을 것이다.

# IOCe 침해지표 구성

IOCe를 이용하여 침해지표를 구성하는 방법이다. 만들려는 침해지표는 Hosts 파일의 변조 유무를 파악하는 것이다.

< 침해지표 구성 >

구성 하고자 하는 가정은 다음과 같다.

1. Hosts 파일의 경로는 고정적이므로 Hosts파일의 경로를 조건으로 걸어준다.

File Full Path contains Windows\System32\drivers

2. 파일 이름은 hosts로 고정적이므로 파일 이름을 조건으로 걸어준다.

File Name contains hosts

3. 파일의 변조가 없는 무결성 확인을 위해 가장 확실한 변조 전의 md5 해쉬값을 조건으로 걸어준다.

File MD5 is 961C....

hosts 파일은 위에서 조건으로 걸어준 경로에 있어야만 제대로 작동이 된다. 따라서 해당 경로를 조건으로 걸어주고 파일 이름도 걸어준다.

해쉬값을 사용한 이유는 파일의 크기같은 경우 내부 정보를 지운 뒤 똑같은 크기로 맞추어 놓게 되면 변조가 가능하기 때문이다.

# Redline을 통한 수집

Redline은 피해 PC의 데이터를 수집하는 프로그램이다. Redline으로 피해 PC의 데이터를 수집하고 이를 IOCe로 제작한 침해 지표와 비교를 하면 된다.

방법은 여러가지가 있다.

1. Redline에서 직접 수집 항목을 정해서 수집을 한다.

2. IOCe에서 제작한 IOC를 기준으로 수집한다.

3. 표준 항목 or 전체 항목으로 수집을 한다.

표준, 전체 항목의 경우 프로그램 메인부분에 standard 또는 comprehensive로 수집을 하면 된다.

< Redline 프로그램 메인 화면 >

다음으로는 직접 스크립트를 구성하여 원하는 정보만을 수집하는 것이다.

< 수집 스크립트 구성 >

그냥 standard 항목에서 Edit your script로 항목을 선택하여 주면 된다.

보면 Memory, Disk, System, Network, Other 탭으로 구성되어 있다.

hosts의 변조 유무는 파일로 저장되어 있기 때문에 다른 항목의 요구는 필요하지 않고 Disk 탭의 항목만 필요하다.

아직 어떤 항목을 수집해야 하는지 잘 모르기 때문에 설정은 하지 않았다.

다음 방법은 IOCe에서 만든 침해지표를 이용하여 수집을 하는 방법이다.

< 침해지표를 통한 수집 >

메인 메뉴에서 'Create an IOC Search Collector'메뉴를 이용하면 된다.

위 사진은 미리 만들어놓은 침해지표를 불러온 모습이다. IOCe에서 지정한 이름 Hosts_Detect로 설정한 Terms를 볼 수 있다.

< 침해지표를 이용했을 경우 Script >

보면 Standard에서 직접 구성한 것과 다르게 Disk에만 체크가 되어 있다. 그 이유는 구성한 침해지표의 내용이 경로, 파일이름, 해쉬를 참고로 하고 있기 때문에 위 처럼 세 가지 항목에 체크가 되어 있다.

이제 표준 항목, 직접 설정, 침해지표 기준 중 하나로 Redline의 수집 항목을 정했다면 파일로 만들어 피해 PC에서 사용을 하면 된다.

< Redline 생성 도구를 저장할 위치 >

이제 Redline 생성 도구도 만들어 졌으므로 이 도구를 이용하여 수집을 하면 된다.

< Redline 생성 도구 >

RunRedlineAudit.bat 파일을 이용하여 Redline에서 설정한 수집항목을 토대로 정보를 수집한다.

-> 여기서 자꾸 Error가 발생하여 감사파일(Audit)를 획득하지 못하였다.

참고 :

http://maj3sty.tistory.com/1066

http://www.dailysecu.com/news_view.php?article_id=10931

http://forensicinsight.org/wp-content/uploads/2013/05/F-INSIGHT-Utilization-of-IOC-IOAF-and-SigBase.pdf

# 개인과제 - 5월 국회를 통과한 형소법 개정안

관련 뉴스 링크 :

['디지털 전문증거 증거능력 확대' 형소법 개정안 등 국회 통과]

https://www.lawtimes.co.kr/Legal-News/Legal-News-View?serial=100593

['디지털 증거' 증거능력 인정받기 쉬워진다]

https://www.lawtimes.co.kr/Legal-News/Legal-News-View?serial=100363&rccode=lvRc

요약 :

"국회는 디지털 전문증거의 증거능력 확대 등을 주요 내용으로 하는 형사소송법 개정안 등 법률안 129건을 가결..."

"지난해 5월 김진태 새누리당 의원이 발의한 형소법 개정안을 골자로... 형소법 제313조 1항을 개정해 진술이 담긴 일반 종이 서류뿐만 아니라 '피고인 등이 작성했거나 진술한 내용이 포함된 문자·사진·영상 등의 정보가 컴퓨터용디스크 등 정보저장매체에 저장돼 있는' 디지털 증거까지 전문증거 대상에 포함하는 내용이다. 또 같은 조 2항을 개정해 전문증거의 작성자가 공판준비기일이나 공판기일에서 그 성립의 진정을 부인하는 경우에도 과학적 분석결과에 기초한 디지털포렌식 조사관의 증언, 감정 등 객관적 방법으로 진정 성립이 증명되는 때에는 증거능력을 인정하도록 했다. 단, 진술자와 작성자가 다른 진술 기재 자료는 대상에서 제외했다. 아울러 피고인이 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판에서 그 기재 내용에 관해 원 진술자를 신문하도록 하는 '반대신문권'을 명시했다."

형소법 전문

http://www.law.go.kr/lsSc.do?menuId=0&p1=&subMenu=1&nwYn=1&section=&tabNo=&query=%ED%98%95%EC%82%AC%EC%86%8C%EC%86%A1%EB%B2%95#JP195:0

개정안 추진 이유?

지난해 7월에 있었던 국정원의 대선개입, 인터넷 활동등의 문제로 인해 개정안이 주요하게 되었다.

사건의 주요 쟁점은 검찰측에서 제시한 중요 증거 'ssecurity.txt'를 제시하였는데, 해당 작성자로 지목 되었던 국정원 심리전단팀 인원이 "파일을 작성한 기억이 없다"고 진술하였다.

-> 그 당시에는 법령중 '전문증거 배제 법칙'에 의하여 이 주요 증거가 증거물로 채택이 되지 않았다. 검찰측은 해당 파일을 '국정원 인원이 작성했다고 볼 수 있기 때문에 진정성립이 가능하다'고 주장하였으나 법원은 '실제 법조항이 없기 때문에 불가하다'고 판결을 하였다.

개정안 결과?

개정안의 결과로 위 사례에서 보았듯이 피고인이 디지털 증거의 작성여부에 부인을 할 경우에도 객관적인 방법으로 성립의 진정함이 증명 되는 경우에는 증거물로 채택이 될 수 있다.