data leakage case #14, artifacts of WEB
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf
#14. Identify directory/file paths related to the web browser history
1. 인터넷 사용 기록(history)
2. 쿠키 및 기타 시이드 데이터(Cookies)
3. 캐시된 이미지 또는 파일(Caches)
INSIGHT_Web-Browser-Forensics_Part1.pdf
Chrome
Download List 정보는 History 정보와 함께 ‘History’ 파일안에 저장됨
IE
Opera
Safari
Firefox
<Random> 정보는 히스토리 경로의 ‘Firefox ‘폴더 아래, ‘profiles.ini ‘파일 안에 저장됨
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
|---|---|
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#13. What web browsers were used?
1. 프로그램 설치 경로 확인
2. 링크파일(.lnk) 분석(이전 글, data leakage case #10/11, application installed/execution logs 참고.)
1. 프로그램 설치 경로 확인
Winhex 로 Program Files 또는 Program Files(x86) 의 파일들을 조사한다.
다음과 같이 Chrome 과 IE 를 사용하고 있음을 알 수 있다.
2. 링크파일(.lnk) 분석
이전 글 data leakage case #10~11, application install/execution logs 참고
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #15, website access logs (2) | 2018.09.18 |
|---|---|
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
data leakage case #12, window event log (system on/off)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx "Windows Security Log Events"
#12. List all traces about the system on/off and the user logon/logoff.
(It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.)
2가지 툴을 이용한 이벤트 로그 분석
1. microsoft message analyzer
2. LogParserStudio_LPSV2.D1
Windows 4624 An account was successfully logged on
Windows 4625 An account failed to log on
Windows 4647 User initiated logoff
Windows 4648 A logon was attempted using explicit credentials
Windows 4608 Windows is starting up
Windows 4609 Windows is shutting down
1. Microsoft message analyzer 를 이용한 이벤트 로그 분석
가. 분석 PC 이벤트 로그를 다음의 경로에서 추출한다.
%systemroot%\System32\winevt
나. Microsoft message analyzer 를 통해 해당 로그를 불러온 후 다음과 같이 필터링 한다.
*eventId == 4624 or *eventId == 4647 or *eventId == 4608 or *eventId == 4609
여기서 보여지는 timestamp 값은, HOST PC 의 timezone 에 해당하는 값으로, Target PC의 Time zone을 적용하기 위해서는 -13 hour 를 하면 된다.
다. 우측상단의 Export 메뉴를 통해, 결과파일을 다음과 같이 .csv 파일로 export 할 수 있다.
최초에 export 를 할 경우 한글이 깨져서 나오는데, 다음과 같이 해결한다.
1) export.csv 파일을 메모장으로 연다.
2) 다른 이름으로 저장할 때, 인코딩을 "utf-8" 변경한 후 저장하면, 새로 저장된 .csv 파일은 한글이 깨지지 않는다.
[참고] http://yaraba.tistory.com/512
2. Log Parser Studio 를 이용한 이벤트 로그 분석
가. 분석할 이벤트 로그를 다음과 같이 선택한다. (Choose log files/folders to query)
Add folder 메뉴는 버그로 작동하지 않아, Add files 를 통해 모든 파일을 불러온다.
나. "Create a new query" 를 통해 새로운 질의창을 생성하고, Log Type: EVTLOG 를 선택한다.
다. 다음의 쿼리를 실행한다.
SELECT * FROM '[LOGFILEPATH]'
WHERE (EventID = 4624) OR (EventID = 4647) OR (EventID = 4608) OR (EventID = 4609)
ORDER BY TimeGenerated ASC
라. CSV 파일로 export 한다.
마찬가지로 한글이 깨지지만, 메모장으로 연 후 "utf-8" 인코딩으로 다른이름저장하면 한글이 깨지지 않는다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
|---|---|
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
data leakage case #10~11, application install/execution logs
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://m.blog.naver.com/PostView.nhn?blogId=s2kiess&logNo=220796244110&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F "UserAssist를 통한 파일실행 흔적 분석"
http://solatech.tistory.com/167 "윈7에서의 레지스트리 정보 분석"
http://forensic-proof.com/archives/607 "LNK (Windows Shortcut) 파일 포렌식 분석"
http://portable-forensics.blogspot.com/2014/11/prefetch-and-superfetch.html "프리패치와 슈퍼패치(Prefetch and Superfetch)"
https://m.blog.naver.com/PostView.nhn?blogId=nobless_05&logNo=50192638786&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F "[윈도우 포렌식] 파일 실행 흔적 - AppCompatCache Registry"
http://forensic-proof.com/archives/3397 "응용프로그램 호환성 아티팩트 (Application Compatibility Artifacts)"
http://forensic-proof.com/archives/5819 "응용프로그램 호환성 아티팩트 II (Application Compatibility Artifacts II)"
https://blog.1234n6.com/2018/10/available-artifacts-evidence-of.html?m=1&fbclid=IwAR3d-84boV0blmoIcjtWTWfBJZRIOWl-dp5TVtUedZkqXONFuWmDHOqppx8 "Available Artifacts - Evidence of Execution"
#10. What applications were installed by the suspect after installing OS?
#11. List application execution logs.
(Executable path, execution time, execution count...)
1. 레지스트리 분석(UserAssist, RunMRU, Uninstall)
2. 링크파일 분석(LinkParser)
3. 프리패치 분석(WinPrefetchView)
4. 호환성 아티팩트 분석(ShimcacheParser)
1. 레지스트리 분석
프로그램 설치 흔적
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
실행파일 실행 기록
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
바로가기 실행 기록
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count
가장 최근에 실행되었던 프로그램
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
가. Uninstall 키 확인
나. UserAssist 키 확인
다. RunMRU 키 확인
2. 링크파일(.lnk) 분석
링크파일이란?
LNK 파일이라고 하면 특정 응용프로그램을 설치했을 때 바탕화면에 자동으로 생성되거나, 사용자가 편의를 위해 바로가기를 생성했을 때 생기는 파일을 떠올릴 수 있다. 하지만, 바탕화면(Desktop) 외에도 "최근 문서 폴더(Recent)", "시작프로그램(Start)", "빠른실행(QuickLaunch)" 등 다양한 곳에서 수동 혹은 자동으로 생성되어 저장된다.
최근문서(Recent) 폴더
Windows XP : C:\Documents and Settings\<user name>\Recent
Windows 7 : C:\Users<user name>\AppData\Roaming\Microsoft\Windows\Recent
바탕화면(Desktop) 폴더
Windows XP : C:\Documents and Settings\<user name>\Desktop
Windows 7 : C:\Users\<user name>\Desktop
시작프로그램(Start) 폴더
Windows XP : C:\Documents and Settings\<user name>\Start Menu\Programs
Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
빠른실행(QuickLaunch) 폴더
Windows XP : C:\Documents and Settings\<user name>\Application Data\Microsoft\Internet Explorer\Quick Launch
Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
가. Winhex 에서 Explore recursively 기능을 통해 partition 2 에 있는 모든 파일을 탐색한다.
나. 확장자로 정렬하여, .lnk 파일을 모두 추출한다.
다. LinkParser 툴을 이용하여, 추출한 링크 파일들이 있는 폴더를 불러온다.
라. LinkCreationDate 로 정렬하여 프로그램 실행흔적을 분석한다.
(링크가 생성된 시점이 파일이 실행된 시점이기 때문이다.)
3. 프리패치(.pf) 분석
프리패치 파일이란?
윈도우는 프리패치 파일에 실행 파일이 사용하는 시스템 자원을 미리 저장하였다가 윈도우 부팅 시 프리패치 파일(.pf)을 모두 메모리에 로드한 후 실제 사용할 때에는 메모리 매핑만을 수행하여 사용할 수 있도록 하여 실행 속도를 다소 향상시켰다.
프리패치 파일을 분석하면 다음을 알 수 있다.
-실행 파일 이름
-실행 파일의 실행 횟수
-실행 파일의 마지막 실행 시간
-프리패치 파일의 생성 시간(최초 실행 시간)
-실행된 볼륨의 정보
-실행파일 실행 시 참조하는 파일의 목록
가. Winhex 에서 분석 PC 의 Prefetch 폴더를 [우클릭]-recover/copy 한다.
나. WinPrefetchView 프로그램에서 해당 폴더를 다음과 같이 불러온다.
다. Last Run Time 을 기준으로 정렬한다.
1) Last Run Time 은 분석을 진행하는 PC의 Time zone 이 적용된 값을 보여준다.(Korea Standard Time UTC+9)
분석 PC 의 Time zone 은 Eastern Standard Time (UTC-5) 에 daylight time bias -60 minutes (+1 hour) 적용한 UTC-4 이다.
그러므로, 현재 보여지는 Last Run Time에서 -13 hour 를 해준값이, 분석 PC 의 time zone 에 해당하는 값이 된다.
2) Created Time, modified time 등은 분석이미지에서 host PC 로 recover/copy 할때의 시간값이므로, 분석에 의미없는 값이다.
라. 다음과 같이 HTML Report 로 따로 뽑아낼 수도 있다.
4. 호환성 아티팩트(Shimcache, AppCompatCache) 분석
ShimCache(=AppCompatCache) 호환성 아티팩트란?
- 마이크로소프트 사에서 응용 프로그램 간 호환성을 제어하고, 트러블 슈팅과 문제 해결을 위해 만든 파일이다.
- OS에 따라 다르지만, 파일 경로/ 크기/ 마지막 수정시간/ 마지막 실행 시간등의 정보를 가지고 있다.
"응용프로그램의 실행 정보는 보통 프리패치(prefetch) 정보를 확인하면 알 수 있지만 프리패치의 개수는 한정되어 있기 때문에 오래된 흔적을 찾기는 어렵다. 또한, 최근 악성코드는 프리패치와 같이 알려진 흔적을 모두 삭제하는 경향이 있다. 이런 상황에서 호환성 캐시 정보는 분석에 매우 중요하게 사용될 수 있다. 특히, 시간 정보가 포함되기 때문에 더할 나위없이 유용하다. 뛰어난 공격자라면 각 운영체제 버전에 맞게 호환성 문제가 없는 프로그램을 사용하겠지만, APT 공격과 같이 오랫동안 여러 시스템을 감염시켜야 하는 경우 시스템 버전이 다양하기 때문에 호환성 캐시에 흔적이 저장될 가능성이 매우 크다."
HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\*
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
%SystemRoot%\Windows\AppCompat\Programs\*
가. Eric Zimmerman's tools 의 AppCompatCacheParser (a.k.a shimcacheparser)사용한다.
나. 프로그램 설명
다. 다음의 명령어를 통해 분석 대상 PC의 SYSTEM 레지스트리에서 shimcache 관련 정보를 추출한다.
AppCompatCacheParser.exe --csv [결과파일 경로] -t --f [SYSTEM 레지스트리 하이브 파일 경로]
라. 생성된 결과파일을 확인하면 다음과 같다.
Windows7x64_Windows2008R2_SYSTEM_AppCompatCache.csv
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #13, Web application check (0) | 2018.09.18 |
|---|---|
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
| data leakage case #7, last logon user (0) | 2018.08.10 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#9. Explain the information of network interface(s) with an IP address assigned by DHCP.
#3 참고.
\HKLM\System\ControlSet001\services\Tcpip\Parameters\Interfaces\[하위키]
DhcpIPAddress : 10.11.11.129
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
|---|---|
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
| data leakage case #7, last logon user (0) | 2018.08.10 |
| data leakage case #6, all accounts list (0) | 2018.08.10 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://www.antionline.com/showthread.php?275382-Time-and-date-of-last-shutdown
#8. When was the last recorded shutdown date/time?
#3 참고.
HKLM\System\ControlSet\Control\Windows
shutdown time : 57-A9-48-B5-10-67-D0-01 (2015-03-25 15:31:05)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
|---|---|
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
| data leakage case #7, last logon user (0) | 2018.08.10 |
| data leakage case #6, all accounts list (0) | 2018.08.10 |
| data leakage case #5, computer name (0) | 2018.08.10 |
data leakage case #7, last logon user
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#7. Who was the last user to logon into PC?
#3 참고.
다음의 레지스트리 경로에 마지막으로 로그온한 유저 정보가 있다.
HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
LastLoggedOnUser : informant
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
|---|---|
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
| data leakage case #6, all accounts list (0) | 2018.08.10 |
| data leakage case #5, computer name (0) | 2018.08.10 |
| data leakage case #4, timezone (0) | 2018.08.10 |
data leakage case #6, all accounts list
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#6. List all accounts in OS except the system accounts: Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date…)
#3 참고.
다음의 두 레지스트리에서 사용자 계정 정보를 확인할 수 있다.
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
1. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 확인
all accounts : informat, temporary, ITech Team, admin11, Guest, Administrator
위의 계정들에 해당하는 login count, last logon date, created on time, total login count, invalid login count 등이 있다.
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 확인
system, local, network 서비스들을 수행하기 위해서 필요한 계정과 사용자 계정의 SID 값을 확인할 수 있다.
S-1-5-18 : %systemroot%\System32\config\systemprofile
S-1-5-19 : %systemroot%\ServiceProfiles\LocalService
S-1-5-20 : %systemroot%\ServiceProfiles\NetworkService
S-1-5-{21-xxx}-1002 : C:\Users\informant
S-1-5-{21-xxx}-1001 : C:\Users\admin11
S-1-5-{21-xxx}-1003 : C:\Users\temporary
해당 계정의 폴더를 확인하면 다음과 같다.
사용자 생성 계정 : admin11, informant, temporary
기본 생성 계정
- All Users : 윈도우 XP 이후 사용하지 않지만, 호환성을 위해 남아있다.
- Default : 새로운 계정을 만들때, default 를 복사해서 만든다.
* default 계정에 악성코드를 심어두면, 계정을 만들때마다 감염된다.
- Default User : 윈도우 XP 이후 사용하지 않지만, 호화성을 위해 남아있다.
- Public : 모든 사용자가 공통으로 접근할 수 있다.
[참고] SID 란?
[출처] 알기사 2018 정보보안기사&산업기사 윈도우 서버 보안 편
SID(Security Identifier)란 윈도우에서 계정을 하나의 코드 값으로 표시한 것이다.
S-1-5-{Sub-authority value}-{relative ID(RID)}
1) S : SID 를 의미한다.
2) 1 : revision number(SID 명세버전)
3) 5 : Identifier authority value(48bit, 윈도우 보안 권한)
4) Sub-authority value
- 도메인 또는 로컬 컴퓨터 구분자이다.
- 시스템의 고유한 숫자로, 시스템을 설치할 때 시스템의 특성을 수집하여 생성된다.
5) relative ID(RID)
- 기본적으로 생성되는 builtin 계정이 아니라면, 1000보다 큰 숫자의 RID 가 생성된다.
- 관리자(Administrator)는 500번, Guest 계정은 501번, 일반 사용자는 1000번 이상의 숫자를 갖는다.
SID |
설명 |
S-1-0-0 |
SID 를 모를 때 사용하는 SID |
S-1-0-1 |
Everyone |
S-1-5-7 |
Anonymous |
S-1-5-18 |
System Profiles(시스템의 서비스용 계정이다) |
S-1-5-19 |
Local Service |
S-1-5-20 |
Network Service |
S-1-5-domain-500 |
Administrator |
S-1-5-domain-501 |
Guest |
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
|---|---|
| data leakage case #7, last logon user (0) | 2018.08.10 |
| data leakage case #5, computer name (0) | 2018.08.10 |
| data leakage case #4, timezone (0) | 2018.08.10 |
| data leakage case #3, OS Information (0) | 2018.08.10 |
data leakage case #5, computer name
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#5. What is the computer name?
#3 참고.
컴퓨터 이름에 대한 정보는 다음 레지스트리 경로에 있다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName : INFORMANT-PC
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #7, last logon user (0) | 2018.08.10 |
|---|---|
| data leakage case #6, all accounts list (0) | 2018.08.10 |
| data leakage case #4, timezone (0) | 2018.08.10 |
| data leakage case #3, OS Information (0) | 2018.08.10 |
| data leakage case #2, partition info (0) | 2018.08.10 |
data leakage case #4, timezone
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://blogs.msdn.microsoft.com/bclteam/2007/06/07/exploring-windows-time-zones-with-system-timezoneinfo-josh-free/
#4. What is the timezone setting?
윈도우에서 timezone information 은 다음의 레지스트리에 존재한다.
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
1. CurrentControlSet 파악하기
CurrentControlSet은 현재 로그인한 유저의 세팅값(Hardware profile 등)을 저장하고 있으며, 오프라인 상태에서는 ControlSetXXX을 통해 분석한다. ControlSetNumber는 아래와 같이 HKLM\SYSTEM\Select의 Current Value에 저장되어 있다. 해당 값이 1이라면 ControlSet001을, 2라면 ControlSet002를 분석한다.
2. 시간값 해석하기
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation 레지스트리 값을 해석하면 다음과 같다.
Bias : 300 minutes
DaylightBias : -60 minutes
ActiveTimeBias = Bias + DaylightBias = 240 minutes
즉, UTC -4 가 timezone setting 값이다.
[주의] UTC 로 해석할때는 - 를 붙인다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #6, all accounts list (0) | 2018.08.10 |
|---|---|
| data leakage case #5, computer name (0) | 2018.08.10 |
| data leakage case #3, OS Information (0) | 2018.08.10 |
| data leakage case #2, partition info (0) | 2018.08.10 |
| data leakage case #1,hash values of image file (0) | 2018.08.10 |
