[디지털 포렌식] 안티 포렌식

Anti-Forensic

• 불리하게 작용할 가능성이 있는 사용 흔적 또는 도구 실행 흔적 등의 데이터를 삭제 또는 차단
• 데이터 은닉, 삭제, 변형 등의 기법을 활용
• 분석시간 증가 및 데이터 수집 방해
• 최근에는 데이터의 유출과 많이 관련됨

유형

• 데이터파괴, 데이터 조작
• 데이터 변형, 데이터 은닉
• 부터플 소프트웨어 사용
• 원격 코드 사용

 

데이터 파괴/삭제

• 데이터를 분석하지 못하도록 삭제/파괴 하는 기법
• 데이터를 분석하지 못하도록 일반/영구 삭제하는 기법
• 완전삭제, 데이터 와이핑/덮어쓰기, 로그 및 이벤트 삭제, 사용자 흔적삭제, 포맷 등

유형

• 하드웨어 기반

-DBAN(Darik’s Boot and Nuke), Diskzapper, Drive Cleanser

-Final Eraser, BlackMagic(Hard Disk Degaussing, Punching 등)

• 소프트웨어 기반

-Eraser

-Moo0

-CC Cleaner

대응 방안

비할당 영역에서 시그니처 기반으로 파일 카빙

파일 카빙 기법

• 연속적인 카빙 방법

-헤더/푸터 카빙

-램 슬랙 카빙

-파일 크기 카빙

-파일 검증 카빙

• 비연속적인 카빙

-시그니처 기반 카빙

-엔드로피 카빙

-공통된 패턴 이용

 

데이터 변형

• 데이터를 분석하기 어렵도록 데이터의 형태를 다른 임의의 형태로 변형시키는 기법
• 데이터 압축, 암호화, 인코딩, 난독화, 실행 압축 등

Encoding 방식

• UTF-8

-유니코드를 위한 가변길이(1~4byte) 문자 인코딩 방식으로 한글은 AC00부터 시작

• Base58/64/85

-Binary 데이터를 저장 또는 전송 중에 데이터의 손실을 막기 위해 텍스트 형식(ASCII문자)로 변환

• Hexadecimal

-총 16개 문자(0~9, A~F) 사용

-2byte단위, 00 부터 FF까지 총 256가지의 수 표현 가능

• URL Encoding

-아스키 코드 이외 문자는 헥사 코드로 바꾼 후 1byte단위로 ‘%’문자를 앞에 추가

• ROT13

-대칭 방식의 암호화 인코딩 방식

암호화

• TrueCrypt

-모든 데이터를 암호화 해서 저장

-패스워드를 입력 해야만 저장된 데이터 확인 가능

• Windows BitLocker

-Windows가 설치된 모든 드라이브의 개인 파일 및 시스템 파일 암호화 가능

• TPM(Trusted Platform Module)

-시스템의 지문 역할

-BIOS나 MBR같은 부팅 구성 요소의 해시 값과 TPM에 저장된 해시 값을 비교하여 같으면 암호 해제

 

데이터 은닉

• 데이터를 알아보지 못하도록 숨기거나 숨겼다는 사실 조차 숨기는 기법
• 은닉채널, 스테가노그래피, 슬랙공간, 데이터 스트림(구조)

아크로스틱 기법

• 문자의 앞머리나 특정부분을 따서 의미 있는 데이터가 되는 암호 기법

-crunchy chewy

-awesome

-nice and sweet

-delightful and delicious

-yummy treat

-Chicken or beef

-Rice or potato

-Broccoli or tomato

-White wine or red

삽입(복합 이진 파일)

• 압축 형태의 문서 파일 안에 데이터를 삽입 하는 방식
• 왕재산 간첩사건

이미지(사진)

• TIFF, PNG, PDF, BMP, GIF, JPEG, JPG
• 사진 속 bit 반전, LSB삽입, magnifier 등
• 데이터 삽입을 통한 은닉
• 가장 일반적인 방법이 최상위 또는 최하위 bit를 변조하는 방법(LSB)

-Least Significant Bit의 약어

-jpeg, bmp와 같은 24bit이미지 파일에 적용

-FE=0 , FF=1로 치환 후 다시 ASCII로 변환 하면 숨긴 데이터 확인 가능

오디오

• 오디오 채널을 조작 하여 채널 속에 데이터를 은닉 하는 기법

-비 압축 오디오 포맷 : PCM(Pulse Code Modulation)

-아날로그 시그널이 균등 분포된 WAV

-무 손실 오디오 포맷 : TTA, FLAC

-손실 오디오 포맷 : MP3, WMA, AAC

-오디오 스테가노 기법 : Spread Spectrum, LSB Encoding, Echo Hiding, Phase Coding

영상

• 동영상에 프레임을 추가 하거나 조작하여 은닉 하는 기법

스테가노그래피 도구

• Invisible Secret
• S-Tools(Steganography Tools)
• Stego PNG
• OutGuess
• Omn Hide
• Our Secret
• MP3Stego
• Data Stash
• SlientEye
• OpenStego
• StegDetecte

 

데이터 조작

• 데이터 분석을 어렵게 하거나 속이기 위해 조작 하는 기법
• 확장자 변경, 시간정보 변경, 문서내용 조작, 멀티미디어 조작(그림자, 선명도, 프레임 분석 등)을 통한 분석

그림자 분석

• 그림자의 위치와 빛의 위치를 계산하여 실제 존재하는 피사체인지 파악하는 방법

선명도 분석

• 선명도를 비교하여 합성된 피사체를 파악 하는 방법

프레임 분석

• 동영상의 프레임을 계산하여 특정 구간의 조작을 파악 하는 방법

 

흔적 최소화 기법

• 원격 코드 실행 이용

-원격에 위치한 임의의 코드 실행

• 부터블 프로그램 이용

-부팅이 가능한 형태로 시스템 운영체제를 동작 시키지 않고, 데이터 삭제/변조/유출

-실행 과정의 아티팩트가 남지 않음

• 가상머신

-가상머신은 운영체제에서 또 다른 운영체제를 돌리는 형태

-가상머신 운영체제에서 일어나는 행위는 오리지널 운영체제에 영향 없음

 

안티 포렌식 분석기법

Cheat Sheet

• 오디오 : 채널분석, 스펙트럼 분석 등
• 사진 : 데이터 추출, LSB분석, magnifier, 프레임 분석 등
• 영상 : 프레임 분석
• 이진 복합 파일 : 압축 해제 후 파일 구조 확인
• 슬랙 공간 : 카빙 기법을 통한 데이터 추출(ex. Foremost, binwalk, dd 등)
• 안티 포렌식 도구 사용 흔적 : Icon cache 분석

 

실습

.docx는 압축되어 있음(2진 복합파일)

1. 해당 파일을 우클릭 > 7.zip > "파일명"에 압축 풀기

2. word 폴더 -> 클라이언트가 사용하는 실질적인 데이터 저장

3. word/media에 숨겨진 파일 확인 가능

해당 내용을 전체 복사해서 메모장에 붙여넣기

ctrl + h 해서 \'를 공백으로 바꿔서 모든 내용 이어붙이기

HxD 실행해서 붙여넣기

png 파일의 시그니처는 89부터 시작이기 때문에 첨에 00을 삭제

cf) http://forensic-proof.com/archives/323

이를 test.png로 저장해서 확인

HxD로 해당 파일 열기

bmp 헤더 부분이 누락된 것으로 확인

추가해서 다시 실행하면 복구됨

StegSolve.jar 파일을 실행

해당 사진을 열기

하단의 화살표를 눌러 색상별 필터 기능 확인

flag가 나타남

https://29a.ch/photo-forensics/#forensic-magnifier

업로드 해서 은닉된 내용 확인

SmartDeblur를 통해 Radius와 Smooth를 조절하여 확인

npiet이라는 프로그래밍언어로 만들어진 사진 파일

https://www.bertnase.de/npiet/npiet-execute.php 파일 업로드 및 base64 복사해서 디코딩 > 완전히 디코딩 되지 않음 > 몰레볼제라는 언어로 인코딩 됨 > https://malbolge.doleczek.pl/ 에 복붙하여 확인