[이제 시작이야! 디지털 포렌식] Chapter 6 안티포렌식

 

 

 

안티 포렌식은 디지털 데이터를 조작, 삭제 또는 난독화하여

조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 아니면 거의 불가능하게 만드는 것이다.

 

안티 포렌식 툴과 기술은 불법적인 용도 혹은 합법적인 용도로 가능하다.

 

 

 

---

1. 데이터 은폐

• 파일 이름과 확장자 변조
• 관계 없는 디렉터리에 파일 숨기기
• 파일 속에 파일 숨기기
• 암호화

- 암호화

• 암호화는 양날의 검 ⚔
• 테러범의 암호화를 포함한 여러 최신 기술 사용

- 암호화란?

• 데이터를 암호문이라는 형태로 변환하여 승인을 득하지 않은 사람들이 데이터를 쉽게 보지 못하도록 하는 것
• 평문 : 원본 텍스트로 암호화되지 않은 메세지로 모든 사람들이 읽을 수 있음
• 암호문 : 평문을 뒤섞어서 쉽게 이해할 수 없는 형태로 변환한 것
• 알고리즘 : 메세지를 암호화하는 데 사용하는 방법
• 키(key) : 정보를 암호화하고 복호화하는 데 사용하는 데이터
• 평문 + 키 + 알고리즘 => 암호문

- 초장기 암호화

• 시저 암호(Caesar Cipher) : 대치암호(shift cipher)
• 오늘날에도 시저암호는 컴퓨터 코드를 난독화할 때 사용함(ex ROT13)
• 난독화 : 데이터 자체보다는 컴퓨터 코드를 보호하는 데 사용
• 반대로 암호화는 컴퓨터가 코드를 아예 이해할 수 없게 만듦 고로, 난독화 != 암호화

- 알고리즘

• 알고리즘 : 특정 작업을 완료하기 위해 사용되는 "명령들"
• 암호화 알고리즘은 대칭과 비대칭 두 종류
• 대칭 암호화 : 하나의 키로 데이터를 암호화하고 복호화
• 비대칭 암호화 : 두 개의 서로 다른 키를 사용
• AES, TripleDES, Blowfish, RSA 등

- 알고리즘: 비밀은 없다

• 암호학의 베스트 프랙티스, "알고리즘의 보안은 비밀이어서는 안된다"
• 암호학자 오고스트 커코프, "알고리즘 자체의 비밀성에 의존하는 시스템은 보안적으로 안전하지 않다"

- 키 공간

• 키 공간(key space)은 특정 암호화 알고리즘의 강도 측정 기준
• 키 공간 또는 키의 길이는 암호 크랙하는 데 직접적 영향

- 암호화의 예

• 윈도우 - 비트락커(BitLocker) / 애플 - 파일바울트(FileVault)
• 1. 파일이나 폴더 암호화 2. 전체 디스크 암호화(full disk encryption 또는 whole disk encryption)
• 전체 디스크 암호화의 이점은 데이터 "누출" 방지(스웝 공간)
• 단점은 성능 저하 및 인증 과정 중에 키 분실하면 이도저도 못함
• 전체 디스크 암호화는 디스크 전체를 암호화하는 것은 아님 -> 파티션 분리

- 암호화 파일 시스템

• 암호화 파일 시스템(Encrypting File System, EFS) : 파일과 폴더 암호화
• 그저 파일 속성에서 체크 박스 하나 누르면 됨
• 윈도우 사용자 이름과 비밀번호를 암호화 알고리즘의 일부로 사용
• 윈도우 OS 기능이 아닌 New Technology File System(NTFS)의 기능

- 비트락커

• 모든 윈도우 버전에서 가능한 것이 아님
• TPM(Trusted Platform Module, 신뢰 플랫폼 모듈) : 마더보드에 있는 마이크로 칩으로 암호화 기능 제공
• TPM 없이 작동하려면 키를 USB 드라이브에 저장함
• 수사 중에 실행 중인 컴퓨터가 비트락커 사용하는지를 파악하는 게 수사에 도움줌

- 애플 파일바울트

• 파일바웉르 2는 128 비트 AES 암호화 알고리즘
• 애플은 자사에 고객이 복원 키를 저장할 수 있도록 함

- 트루크립트

• 무료 오픈소스 소프트웨어로 실시간 암호화 기능 제공
• 복호화를 위해선 정확한 비밀번호와 키 파일 필요
• 윈도우, 맥, 리눅스 실행 가능하며 키 공간은 256비트에 AES, Serpent, Twofish 등

- 비밀번호 크랙

• 비밀번호를 크랙하는 방법 
• 1. 무차별 대입 공격 2. 딕셔너리 공격 3. 비밀번호 재설정 등
• "password" "123" "abcd" 혹은 생일, 애완동믈 이름, 좋아하는 스포츠 팀 등으로 자주 사용
• 사람들은 비밀번호의 일부 또는 전부를 재사용하여 다른 모든 비밀번호를 획득 가능
• 하드 드라이브 스웝 공간, RAM 캡쳐 등으로 찾을 수 있다.
• 비밀번호 크랙 툴 -> AccessData의 Password Recover Toolkit(PRTK), John the Ripper, Cain and Abel 등

---

2. 크랙 방법

• 암호화를 피하는 것이 비밀번호를 크랙하는 것보다 훨씬 좋은 선택이다.

- 무차별 대입 공격

• 최대한 많은 컴퓨터 파워를 사용하여 정확한 비밀번호를 추측하는 것
• 더 많은 CPU를 사용하면 할수록 더 빨리(?) 비밀번호를 크랙가능 하다.
• 미국 사이버범죄센터의 디지털 포렌식 팀, 소니의 PS3 게임기로 비밀번호 크랙

- 비밀번호 재설정

• 일부 프로그램은 비밀번호보다 소프트웨어 자체를 공격하여 접근권한을 획득해 비밀번호 재설정
• 윈도우 시스템의 비밀번호를 우회하려면 부팅가능한 CD 사용
• Security Account Manager 또는 SAM에 있는 데이터 덮어써서 비밀번호 재설정

- 딕셔너리 공격

• 여러 출처에서 수집할 수 있는 단어를 사용하여 좀 더 정확하게 공격
• 할당한 공간과 할당하지 않은 공간 모두에서 수집한 단어
• 조사 대상의 배경 정보 및 관심사를 수색하여 단어 수집
• AccessData의 Password Recovery Toolkit(PPTK)로 수집한 단어를 대상으로 비밀번호 조합 생성

---

3. 스테가노그래피

• 스테가노그래피(steganography) : 고대 그리스 언어 "stegos"(감추다) + "graphie"(글) = "감춰진 글"
• 일반 메세지에 비밀 메세지를 숨기고 최종 목적지에서 비밀 메세지를 볼 수 있는 것
• 호스트 파일(또는 carrier 파일) : 비밀 메세지를 저장하고 있는 파일
• 페이로드 : 호스트 파일 안에 숨겨진 비밀 문서
• 노이즈(noise) : 불필요한 데이터
• 각 파일의 노이즈에 페이로드를 숨기는 것
• 스테가노그래프 탐지는 어려우며 생성 시의 툴과 비밀번호를 모르면 페이로드 추출 매우 어렵거나 불가능

---

4. 데이터 파괴

• 데이터 파괴는 더 효과적인 방법과 덜 효과적인 방법 존재
• 드라이브 와이핑 프로그램은 증거를 완전히 삭제하는데 효과적일 수 있다.

- 드라이브 와이핑

• 하드 드라이브에 있는 데이터가 복원될 수 없도록 데이터를 덮어씌움
• Darik's Boot and Nuke, DiskWipe, CBL Data Sherdder, Webroot Window Washer, Evidence Eliminator 등
• "모든" 데이터가 아니라 지정한 파일만 완전 삭제(ex 운영체제 파일)
• 툴을 사용했더라도 툴의 품질과 사용자의 능력에 따라 복원 가능할 수도 있음
• 수사 과정에서 드라이브 와이핑 프로그램 설치 및 사용 흔적은 훌륭한 증거
• -> 특이하고 반복적인 데이터 패턴

안티 포렌식 기술로써의 디스크 조각 모음 -> "디스크 조각 모음"은 컴퓨터 성능을 향상시키기 위해 자주 활용     이 과정으로 데이터가 드라이브의 한 위치에서 다른 위치로 이동하게 되는데,     데이터가 덮어 써지는 경우도 발생함     조각 모음의 실행 여부를 확인하려면 윈도우에서 드라이브 이미지를 부팅하여 파일 조각이 얼마나 있는지 확인하면 됨

 

• 암호화는 디지털 포렌식에 심각한 문제이므로 복호화 대처를 해 놓아햐 함
• 복호화 툴 중 하나인 AccessData의 Password Recovery Toolkit(PRTK)
• -> 현대 개발자들은 'PRKT'를 인지하고 만들기에 일부러 느린 알고리즘을 사용함

---

5. 요약

• 안티 포렌식 툴과 기술은 컴퓨터 포렌식 조사에 상당한 영향을 줌
• 암호화는 가장 널리 사용되고 가장 위협적인 데이터 은폐 방법이다.
• 암호화되어 있는 데이터가 있다면 공격할 수 있는 방법
• 1. 무차별 대입 공격 2. 비밀번호 재설정 3. 딕셔너리 공격
• 스테가노그래피라는 방법으로 페이로드를 호스트 파일에 삽입해 숨김
• 용의자는 상업적으로 구입 가능한 드라이브 와이핑 툴로 데이터를 파괴할 수 있다.
• 물론 이러한 툴을 사용한 후에도 복원가능할 수도 있고 성공적으로 삭제했더라고 사용 흔적이 증거가 될 수 있음

 

 

 

 

< 책 출처 >
이제 시작이야! 디지털 포렌식 - 존 새몬스 지음