old

codegate 2012 - forensic 400 (MFT 분석, analyzeMFT 사용, R-Studio)

nopdata 2017. 3. 30. 01:47
keyword : MFT분석, analyzeMFT 사용, R-Studio

문제 지문은 위와 같다. 요약을 하면 어떤 에너지 관리 시스템이 정교한 APT공격을 6달동안 받아, 기밀사항이 유출되었다고 한다.
해커는 공격 흔적을 최대한 지워 대부분의 데이터를 찾기 어렵다고 하지만 분석가 IU가 MFT쪽에서 어떠한 흔적을 찾아 냈다고 한다.
이 정보를 기반으로 악성 프로그램이 생성된 시간을 찾아내면 된다.
제공되는 파일은 MFT파일 하나인데 MFT분석용 프로그램은 analyzeMFT가 제일 유명하다. 파이썬 형태로 사용할 수 있다.

이전에 NTFS공부를 하며 만들다가 만 소스코드를 사용해 보았더니 파일 이름은 잘 나왔다.
나머지 부분은 아직 미흡....



이 소스코드는 나중에 보완을 하도록 하고, R-Studio를 이용하면 MFT파일만을 가지고 복구가 가능하다고 한다. 복구하는 방법은 다음과 같다.

Open Image로 MFT파일을 불러온 다음 Scan옵션을 이용하면 위 그림처럼 Recongnized0이 새로 생긴다.
이를 더블클릭하면 일반 Explorer같이 탐색이 가능하다.

이처럼 탐색을 하면 된다. 다양한 파일들이 있지만, 항상 시나리오에서 힌트가 있다.
지문에 있듯, 해커는 공격한 흔적을 지우려 하였다. 따라서 휴지통인 Recycle.Bin에 있는 위 데이터를 보아야 한다. 또한 악성 행위를 하는 경우 일반적으로 실행 프로그램인 exe인 경우가 많다.
따라서, 해커가 사용한 프로그램은 r32.exe라고 특정할 수 있다.
하지만 문제의 답으로는 시간값의 소수점 7번째까지 구해야 한다. 위에서 보이는 R-Studio로는 구하기 어렵기 때문에 analyzeMFT를 이용하여 파싱을 한 후에 데이터를 확인하였다.

analyzeMFT.py -f $MFT -c file

따라서 답은 위에서 나온 시간이 된다.


Answer : 2012-02-23T02:39:18.8974610+09:00

ref