디지털 포렌식 : : 웹 아티팩트 분석

1. 개요

 이번 실습에서는 윈도우 운영체제 아티팩트 중 웹 아티팩트 분석을 하려고한다. 

분석 대상으로는 웹 브라우저 캐시, 히스토리, 다운로드 목록 3가지를 선정하였다.

2. 웹 아티팩트

  웹 브라우저에서 사용자 행위로 인해 웹 애플리케이션과 웹 브라우저가 통신하면서 생긴 흔적을 발견할 수 있다.

예를 들어 용의자PC인 경우 범행 동기,  계획, 내용 등을 확인할  수 있고 피해자PC인 경우 악성코드 유입 경로등을 알 수 있다.

웹 브라우저 캐시는 웹 사이트 방문 시 추후 로딩 속도 향상을 위해 사이트로부터 자동으로 다운받은 컨텐츠이다.

웹 히스토리는 웹 사이트 방문 시 웹 사이트 정보를 월/일로 분류하여 저장한다. 

웹 다운로드 목록은 사용자가 다운로드 한 파일로 사용자 의도와 관련 없이 다운되는 캐시와 구분된다.

3. 웹 아티팩트 분석 과정

1) 분석 환경

 Windows 7 64bit 이미지 파일을 이용하여 실습을 진행하였다.

해당 이미지는 RAT에 감염된 시스템이고 이 파일은 K-Shield Jr 분석대응 강의에서 제공되었다.

2) 분석 도구

- WinHex 19 Portable 

- ESEDatabaseView

3) 분석 과정

[분석과정 - 1]

'WinHex 19 Portable' 를 관리자 권한으로 실행하고 이미지 파일을 오픈하면 HxD 화면과 같이 Hex 값과 문자열이 출력이 된다.

그 다음 상단의 Speciallist를 클릭 후 Interpret Image File As Disk 를 클릭하자 그 다음 partition 2를 더블 클릭하면 

[분석과정 - 1]과 같은 화면이 출력된다. 

이제 WebCacheV01.dat 파일을 찾아서 추출해야한다. 하지만 이 파일의 경로를 매번 암기하고 찾아가는건 힘들기 때문에 검색해서 찾자. 파일들을 찾기 위해서 [분석과정 - 1] 화면에서 빨간박스로 체크된 Explore recursively를 클릭하자.

 

[분석과정 - 2]

[분석과정 - 1]에서 Explore recursively를 클릭하면 [분석과정 - 2] 화면이 출력된다. 이제 WebCacheV01.dat 파일을 찾기 위해 

상단의 아무 파일이나 클릭 후 WebCacheV01.dat을 그대로 입력하면 해당 파일을 찾을 수 있다.

[분석과정 - 3]

ESEDatabaseView 를 이용하여 WebCache01.dat 파일을 분석해보자.  

파일을 오픈하기 위해서 상단의 File을 클릭후 Open ESE Database File 를 클릭 후 해당 파일 경로로 이동 후 오픈한다.

정상적으로 오픈되고 상단의 Containers 를 선택하면 [분석과정 - 3]과 같은 화면이 출력될것이다. 

이 화면에서는 각각의 Container 인덱스의 Name을 알 수 있다. 

[분석과정 - 4]

먼저 악성 파일이 다운로드된 경로를 찾기 위해 Container_1(history)를 확인하자.

이전 실습(메모리 분석)에서 악성으로 의심된 파일인 msdcsc.exe의 실행 시간이 2018-09-17 오후 7:48 경이였기 때문에 

[분석과정 - 4]에서 빨간 박스 부분 기준으로 확인해보자. 

[분석과정 - 5]

[분석과정 - 4] 에서 빨간 박스로 부분의 시간대의 Url 항목을 확인해보자. [분석과정 - 5]와 같이 해당 파일의 경로와 다운로드한 사이트 등으로 의심되는 정보를 확인할 수 있다.  

[분석과정 - 5]에서의 정보를 토대로 악성 파일명은 Golfing_Over_It_with_Alva_Majo.torrent 로 추정하고 

다운로드한 사이트는 http://torrenttt.net/bbs/board0b64.html?bo_table=game&wr_id=753 으로 추정할 수 있다.

이제 WinHex로 넘어와서 악성 파일과 board0b64.html 파일을 추출하여 분석해보자.

[분석과정 - 6]

먼저 board0b64[1].htm 파일을 추출하자.

[분석과정- 2]에서와 같이 검색을 하면 [분석과정 - 6]와 같이 해당 파일을 찾을 수 있다. 해당 파일을 찾았으면 추출하자.

[분석과정 - 7]

[분석과정 - 7]은 Golfing_Over_It_with_Alva_Majo 파일을 추출하는 과정에서 해당 파일을 발견했을때의 화면이다.

마찬가지로 해당 파일을 추출하자.

[분석과정 - 8]

[분석과정 - 6]에서 추출한 board0b64[1].htm 파일을 실행시키면 [분석과정 -8]과 같이 브라우저가 실행된다.

그리고 이 화면에서 악성파일로 의심되는 Golfing_Over_It_with_Alva_Majo.torrent 파일을 다운받을 수 있는걸 확인할 수 있다. 

[분석과정 - 9]

[분석과정 - 9]는 악성파일로 의심되는 Golfing_Over_It_with_Alva_Majo.exe 파일을 바이러스토탈에 업로드한 화면이다.

62/66의 탐지비율로 악성파일로 탐지되는것을 알 수 있다. 

[분석과정 - 10]

이제 해당 파일의 다운로드 경로를 확인하기 위해 Container_14(iedownload)를 확인하자.

msdcsc.exe 파일의 실행 시간이랑 가장 근접한 시간대인 2018-09-17 오후 7:45:53분에 실행된 파일을 클릭해서 

ResponseHeaders 값들을 복사해서 HxD로 확인하자.

[분석과정 - 11]

[분석과정 - 11]은 HxD로 [분석과정 - 10]에서 추출한 ResponseHeaders 값들을 확인했을때 출력되는 화면이다.

파란박스로 체크된 부분을 보면 경로를 확인할 수 있다. 하지만 가독성이 매우 떨어지므로 notepad++로 확인해보자.

[분석과정 - 12]

[분석과정 - 12]는 notepad++로 붙여넣기한 결과이다. 각 글자 사이에 있는 ' . ' 표시 때문에 이해하기 어렵기 때문에

Ctrl+F를 눌러서 모두 없애자.

[분석과정 - 13]

[분석과정 - 13] 에서 빨간박스 부분을 확인했을때 Golfing_Over_It_with_Alva_Majo.torrent 파일은 바탕화면에 저장된 것을 알 수 있다.