안티포렌식 기술 소개 파일 삭제를 중심으로

순 서 디지털 포렌식 안티 포렌식 암호화 정보은닉 변조 삭제 파괴 안티 포렌식 대응 기술 질의 응답

디지털 포렌식 Forensics?

디지털 포렌식 Digital Forensics? 정의 등장배경 디지털 기기에 남아 있는 각종 데이터를 조사하여 사건을 규명하는 법과학 디지털 증거물의 보존, 수집, 확인, 식별, 분석, 기록, 재현, 보고 등 등장배경 디지털 기기 사용량 증가 및 다양화 ☞ 생성되는 디지털 데이터 증가 디지털 기기의 대중화 ⇒ 사이버 범죄 증가 과학수사분야에 새로운 기술 필요성 증가

디지털 포렌식 Digital Forensics? 절차

안티 포렌식 Anti-Forensics? 정의 종류 등장배경 자신에게 불리하게 작용할 가능성이 있는 디지털 데이터를 훼손하거나 숨김으로써 증거물의 획득을 차단ᆞ방해하는 일련의 행위 종류 암호화 정보은닉 변조 삭제 파괴 등장배경 디지털 포렌식 기술발전 ⇒ 디지털 데이터의 법적 증거효력 발휘 ⇒ 안티 포렌식 개념 등장

안티 포렌식 암호화 정의 암호화 유형 데이터 내부의 내용을 확인할 수 없도록 하기 위해 암호를 설정해 두는 것 응용프로그램 암호화 : 문서, 압축, 데이터베이스, E-mail 운영체제 암호화 : Windows, iOS, Android 디스크 암호화 : TrueCrypt, BestCrypt, FreeOTFE 정보보호 솔루션 : DRM(Digital rights management) 문서 보안 소프트캠프, 파수닷컴, 마크애니 등 H/W 암호화 솔루션 : 암호화 SSD / HDD / USB 문서 암호화(한글) 디스크 암호화(TrueCrypt)

안티 포렌식 정보은닉 정의 정보은닉 유형 데이터를 쉽게 찾아내거나 확인할 수 없도록 숨기는 행위 심층암호(Steganography) 멀티미디어 파일 : 이미지, 오디오, 비디오 문서 파일 : 복합 문서, OOXML, PDF 등 저장 매체 또는 파일의 미사용 영역, 슬랙 영역 Reference : http://xiao-steganography.en.softonic.com Reference : http://forensic-proof.com/archives/363

안티 포렌식 변조 정의 변조 유형 데이터를 다른 내용이나 형태로 바꾸는 행위 시간정보 변조 시스템 및 응용프로그램의 내용 변조 파일시스템 또는 파일 내부 시간 정보 시스템 및 응용프로그램의 내용 변조

안티 포렌식 삭제 정의 삭제 유형 데이터를 확인 할 수 없도록 데이터 값을 변형 또는 훼손하는 행위 데이터 삭제 파일 삭제 레코드 삭제 사용흔적 삭제 저장매체 초기화 스마트기기 공장 초기화 데이터 완전 삭제

MFT Entry Flag 값 변경을 통해 연결고리 단절 안티 포렌식 삭제 데이터 삭제 MFT Entry의 Flag 값만 0x00으로 변경 원본 데이터의 위치를 저장하고 있는 데이터에 삭제 데이터임을 표시 ☞ 원본 데이터는 다른 데이터가 덮어 쓰기 전까지 그대로 존재(복구 가능) MFT V B R 원본 데이터 ⅹ MFT Entry Flag 값 변경을 통해 연결고리 단절

안티 포렌식 삭제 데이터 삭제 파일 삭제 일반 삭제(휴지통으로 이동) 바로 삭제(휴지통을 거치치 않음) ‘Delete’ or ‘Ctrl + D’ ‘Delete’ or Trash-cli 바로 삭제(휴지통을 거치치 않음) ‘Shift + Delete’ rm windows *nix windows *nix

안티 포렌식 삭제 데이터 삭제 레코드삭제 레코드: 파일 내에서 실제 데이터를 저장하기 위한 단위 ☞ 레코드 < 블록 < 파일 ex) SQLite 데이터베이스 파일 내의 레코드 삭제 카카오톡 메시지 삭제

안티 포렌식 삭제 데이터 삭제 사용흔적 삭제 인터넷 사용 기록, 파일/폴더 열람 흔적 등을 삭제 최근 일부 사용흔적 삭제도구들은 완전 삭제(Wiping) 방법도 사용 CCleaner BCWipe

안티 포렌식 삭제 데이터 삭제 저장매체 초기화(Format) ※ 빠른 포맷 시 기존의 메타 영역을 삭제하지 않고 Windows 포맷 기능 ※ 빠른 포맷 시 기존의 메타 영역을 삭제하지 않고 새로운 메타 영역을 생성

안티 포렌식 삭제 데이터 삭제 스마트기기 공장 초기화 Android 4.0 Ice Cream Sandwich 이전 ⇒ 비 할당 영역으로부터 데이터 복구 가능 Android 4.1 Jelly Bean 이후 ⇒ 플래시 메모리 전체를 초기화하여 복구 불가능 Apple iOS (하드웨어 기반 AES 암호화) 데이터 복호화를 위한 키(key) 정보가 삭제되기 때문에 복구 불가능 Android Factory Reset iOS Factory Reset

그 밖에 CSEC, NIST, US NISP, NSA/CSS, Australian, New Zealand 등 존재 안티 포렌식 삭제 데이터 완전삭제 데이터가 저장된 영역에 임의의 데이터(0, 1, random)로 덮어쓰는 과정 반복 다양한 덮어쓰기(Overwriting) 표준 표 준 년도 반복 패 턴 U.S. Navy 1993 3 문자 → 보수 → 랜덤 U.S. Air Force 1996 4 0 → 1 → 문자 Peter Gutmann 1 - 35 다양 (0, 1, 문자, 보수, 랜덤) Bruce Schneier 7 1 → 0 → 랜덤(5회) U.S. DoD 2001 문자 → 보수 → 다른 패턴 German Federal 2004 2-3 불규칙한 패턴 → 보수 그 밖에 CSEC, NIST, US NISP, NSA/CSS, Australian, New Zealand 등 존재 reference: http://en.wikipedia.org/wiki/Data_erasure

안티 포렌식 삭제 데이터 완전삭제 완전삭제 프로그램 실행 전ᆞ후 비교 이전 파일의 내용을 알 수 없도록 알 수 없는 값들로 채워짐 완전삭제 프로그램 실행 전 완전삭제 프로그램 실행 후

안티 포렌식 삭제 데이터 완전삭제 완전삭제 프로그램 종류 ※ 복구 가능성 ? Eraser BCWipe Final Eraser ViRobot DataEraser Moo0 File Shredder Moo0 Anti-Recovery CCleaner ※ 복구 가능성 ? ☞ 개별 비트의 복구 가능성은 있지만 의미 있는 복구는 불가능 BCWipe Eraser Moo0 File Shredder ViRobot DataEraser CCleaner

안티 포렌식 파괴 정의 데이터를 저장하는 매체가 기능할 수 없도록 훼손하는 물리적 행위 파괴 유형 디가우징 천공ᆞ파쇄

안티 포렌식 파괴 디가우징 강력한 자기장으로 매체의 자기 상태를 중화하여 데이터를 파괴하는 방법

안티 포렌식 파괴 천공 및 파쇄 천공 및 분쇄 등 물리적 방법으로 데이터가 저장된 매체를 파괴하는 방법

안티 포렌식 대응 기술 안티포렌식 대응 기술 포렌식 기술의 발전과 함께 안티 포렌식 기술도 발전 ☞ 안티포렌식 기술에 대한 대응이 현실적으로 힘들어지고 있음 구 분 설 명 데이터 복구 저장 매체의 비할당 영역(unallocated area)에서 삭제된 데이터 복구 패스워드 복구 암호화된 데이터의 복호화를 위해 사용자 패스워드 검색 은닉 데이터 탐지 데이터의 은닉 여부 탐지, 은닉된 데이터 추출 물리 메모리 분석 의미 있는 휘발성 데이터 추출(패스워드, 암호화 키, 네트워크 연결 정보 등)

! 안티 포렌식 대응 기술 안티포렌식 대응 기술 데이터 복구 데이터가 완전삭제 되었을 경우 복구 불가능 삭제 데이터가 어떤 형태로든 저장 매체에 남아 있다면 복구 가능 종류 파일시스템 기반 복구 블록 기반 복구 연속적인 데이터 복구 단편화된 데이터 복구 스트림 기반 복구 데이터가 완전삭제 되었을 경우 복구 불가능 !

안티 포렌식 대응 기술 안티포렌식 대응 기술 패스워드 복구 AES, RSA 등으로 암호화된 데이터의 키(key) 전수 조사 시 많은 시간 소요 패스워드 기반 암호 체계 사용 시 복구 방법 사회 공학적 방법 사전(dictionary) 공격 전수 조사(brute force) 등 Passware Password Recovery Kit Forensic Elcomsoft Office Password Recovery

문서 파일 내의 비밀 메시지 탐지 예제 (Microsoft 워드 1997-2003 파일 내의 비할당 영역) 안티 포렌식 대응 기술 안티포렌식 대응 기술 은닉 데이터 탐지 심층암호(steganography) 분석 데이터를 이미지 파일이나 MP3 파일 등에 암호화해 숨기는 기술 이미지 스테가노그래피 분석 문서파일 스테가노그래피 분석 문서 파일 내의 비밀 메시지 탐지 예제 (Microsoft 워드 1997-2003 파일 내의 비할당 영역) 원본 이미지 LSB 방식 은닉 LSB 추출 결과 LSB 추출 결과

! 안티 포렌식 대응 기술 안티포렌식 대응 기술 물리 메모리 분석 물리 메모리 영역은 완전삭제 프로그램의 영향을 받지 않음. 메모리 관련 항목 물리 메모리 가상 메모리 파일(페이지 파일, 스왑 파일) 최대 절전 모드 파일(하이버네이션 파일) 추출 대상 항목 물리 메모리 영역은 완전삭제 프로그램의 영향을 받지 않음. 추출 대상 설 명 운영체제 정보 커널 모듈, 로그온 사용자 목록, 설정 정보, 레지스트리 파편 등 프로세스 정보 프로세스 이름, 실행 시간, DLL, 열린 파일, Mapped 파일 등 네트워크 연결 정보 네트워크 설정 정보, 네트워크 연결 흔적, 패킷 파편 등 로그인 정보 웹브라우저 등을 통한 로그인 정보(ID, 패스워드, 로그인 크리덴셜 등) 데이터 파편 복구 인터넷 사용 흔적, 데이터베이스 레코드, 문서, 압축, 이미지, 오디오 등 텍스트 추출 메모리 내의 유의미한 텍스트 추출 !

Thank you for listening