$UsnJnrl을 통한 Google Drive 분석 추가조사 $UsnJnrl을 통한 Google Drive 분석
Google Drive?
폴더 형태로 PC에 존재 자동으로 클라우드 동기화
$UsnJnrl 이용하여 분석해 보자.
설치 계정정보를 .txt문서로 저장시킴 재부팅시 다시 로그인 하지 않아도 되기 위해서 하는 것으로 추정
설치 Google Sheets.lnk, Google Slides.lnk, Google Docs.lnk Google Drive.lnk 등의 바로가기 링크파일이 생성됨
설치 Google Drive가 생성 된 후 snapshot.db-wal ,sync_log.log 등의 부수적인 파일이 생성
$UsnJnrl 분석을 통해서 알아 보고 싶은 것 동기화가 주기적으로 일어나는가? - 일어난다면 주기는 몇 인가? 파일 업로드시 동기화 때 Usn Jornal을 통해서 확인 할 수 있을까? - 확인할 수 있다면 주기적으로 일어나는 동기화와 같은 형태 인가?
*모든 실습은 깨끗한 win7에서 일어 났으며, Folder -2 .bak – 1 .zip – 1 .exe -1 최소한의 프로세스만을 실행 하였음. Folder -2 .bak – 1 .zip – 1 .exe -1 .jpg – 1 .hwp – 1 .mp3 – 1 .wmv -1
Google Drive Folder1(backupfile.bak, zipfile.zip 포함)을 Google Drieve에 복사 Google Drive에 파일이 옮겨 진 후 많은 임시 파일이 생성됨
Google Drive snapshot.db-wal, dict_2.db-wal 이 Extend 됨 동기화가 되었다고 추정
Google Drive Wildlife.wnv를 Google Drive로 복사 임시파일들이 계속 생겼지만 확실치 않음
Google Drive
설치 여러가지 파일을 통하여 실험해 보니 임시 파일이 많이 생겼다.
임시 파일이 동기화에 필요 한가?
Google Drive Googledrivesync.exe를 종료 후 Usn Journal 확인 결과 임시파일이 생기지 않았다.
Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김
Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김
Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인
Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인
Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨
Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨
snapshot.db 는 무엇일까?
SQLite Manager
snapshot.db
snapshot.db
sync_config.db
Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장 결론 Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장 sync_config.db : 계정 정보 및 동기화 폴더 표시 snapshot.db : 동기화된 파일 및 폴더의 목록
참고 미주누나 분석
1. Introduce Introduce Outlook 서비스를 이용한 파일 유출에 대한 로컬 흔적 분석 Environmental 본 보고서는 다음과 같은 환경을 기반으로 작성되었다. 환경 Windows7 32bit Microsoft Office 2010 도구 Regripper 2.2 Microsoft Excel 2010 Log2timeline ANJP 3.11 Intalla
1. Introduce 파일 유출 시간 근거
USB 흔적 찾기 해당 사항 없음 USB 접속 시간이 맞지 않아 USB로 인한 유출 가능성은 낮음
2. Log2Timelien 기반 분석
2. Log2Timelien 기반 분석 <2015-03-23T13:55:06 Outlook Express>
2. Log2Timelien 기반 분석 2015-03-23T13:55:06.394632+09:00 Content Modification Time [\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000003] Account Name: [REG_BINARY] Delivery Folder EntryID: [REG_BINARY] Delivery Store EntryID: [REG_BINARY] Display Name: [REG_BINARY] Email: [REG_BINARY] Leave on Server: [REG_DWORD_LE] 917507 Mini UID: [REG_DWORD_LE] 26533688 POP3 Port: [REG_DWORD_LE] 995 POP3 Server: [REG_BINARY] POP3 Use SSL: [REG_DWORD_LE] 1 POP3 User: [REG_BINARY] Preferences UID: [REG_BINARY] SMTP Port: [REG_DWORD_LE] 465 SMTP Secure Connection: [REG_DWORD_LE] 1 SMTP Server: [REG_BINARY] SMTP Use Auth: [REG_DWORD_LE] 1 SMTP Use SSL: [REG_DWORD_LE] 1 clsid: [REG_SZ] {ED475411-B0D6-11D2-8C3B-00104B2A6676 => 연결에 대한 변경 레지스트리 값
3. .pst 파일 분석
3. .pst 파일 분석 Link to original format zzz.eml Title zzz Source e102982@naver.com.pst Location / ID aperture://1?/10/MD5-51-86ab7bc11d6831b91e23c8e6a66cd745 Type message/rfc822 Message Hash 22d99966e8fd779cfef5553cd55956e4 Content created Mar 23, 2015 13:55:05 Content last modified Mar 23, 2015 13:53:40 Sent Received Mar 23, 2015 13:55:00 To, Cc, Bcc jmj-82@hanmail.net
3. .pst 파일 분석 Link to original format 원본 다.._.eml Title 원본 다... Source e102982@naver.com.pst Location 최상위 Outlook 데이터 파일/보낸 편지함/ ID aperture://1?/1/3/2 Type message/rfc822 Message Hash c57e01ea0bee82a989a842ca6881255b Content created Mar 23, 2015 13:56:13 Content last modified Sent Mar 23, 2015 13:56:45 Received Mar 23, 2015 13:56:00 From 조미주 To, Cc, Bcc jmj-82@hanmail.net
3. .pst 파일 분석 .pst 파일이란? Outlook Express의 백업용 파일 C:\Users\personal_test\Documents\Outlook 파일\ 파일 분석에서 .pst 파일이 2개 생성됨을 확인 -> 메일 2통 송신 확인
3. .pst 파일 분석 1. 의뢰자로부터 제공 된 정보를 토대로 유출 된 파일의 이름과 형식을 인지 3. 파일 형식 xls 4. 파일 이름 중 ‘수산물, 내역서, 구치소’의 단어가 들어간 내용 검색 5. 아웃룩을 통해 파일을 송신했으므로 보낸 편지함 확인 6. 보낸 편지함의 수신 주소 정보 획득 7. 취득 된 정보를 바탕으로 확인 과정을 거쳐 최종적으로 선정 된 메일 주소 확인 8. 메일 주소를 바탕으로 송신 된 메일 검색 9. 유출 정보 확인
4. USN에 따른 분석 <file 정보> <MFT> <UsnJurl>
4. USN에 따른 분석 웹 업로드 시간 7초 업로드를 위해 Windows\Temporary Internet Files\Content_Outlook \CVXIN8U\안에 생성된 파일이 업로드 완료 시 7초 후 삭제
Q & A
Thank you