IT 전반에 애플(Apple) 열풍이 불고 있다. 아이폰, 아이패드뿐만 아니라 노트북 분야에서도 마찬가지이다. 맥북에어의 활약에 힘입어 애플 노트북의 판매량이 급증하고 있다. 기존에 윈도우(Windows)를 사용했던 사용자들이 MAC을 접하게 되면서, MAC OS의 대한 관심도 높아졌다.
이에 따라 MAC OS에 대한 사건사고 또한 급증할 것으로 예상된다. 기업의 보안 관리자에게 MAC OS와 관련된 사건사고를 처리해야 하는 업무가 들이닥칠 일이 머지 않았다는 것이다.
월간 ‘안’에서는 총 2회에 걸쳐, MAC OS에 대한 분석 방법인 ‘MAC 포렌식(Forensics)을 소개하고있다. 지난 2월호에서는 HFS+의 파일 시스템과 파일 복구에 대해 알아보았다. 이번 호에서는 MAC에서 정보를 수집하는 방법에 대해 살펴본다.
연재 목차 1. HFS+의 파일 시스템과 파일 복구(2011년 2월호) 2. MAC에서 정보 수집(이번 호) |
우선 MAC live data에 대해 알아보자. MAC에서 live data는 네트워크 연결 정보, 프로세스 정보 등 현재 시스템이 사용하고 정보를 말한다. 이러한 정보는 사용자가 어떤 프로그램을 사용하는지 또한 그 프로그램이 어떤 네트워크 연결정보를 가지고 있는지에 대한 정보를 알려준다.
만약 외부 연결을 시도하는 악성코드가 MAC에서 동작하고 있을 경우, 공격자는 악성코드를 사용하여 피해 시스템으로 접근을 시도한다. 접근 시도를 확인한 결과는 [그림 1]과 같다. [그림 1]을 보면, 이 악성코드가 사용한 명령어, PID(Process ID), 프로토콜(Protocol) 등을 확인할 수 있다.
[그림 1] 악성코드에 감염된 MAC 시스템
특히, 이 악성코드가 프로세스 목록과 네트워크 연결정보에서 확인되는 것을 볼 수 있다. 이와 같이 명령어나 정보의 위치를 파악한 경우, 해당 데이터를 신속히 수집하여 의심 내역을 분석할 수 있다.
분석 시스템에서 정보를 수집하는 방법은 크게 두 가지다.
첫째, 디스크 이미지를 획득 후 live data 수집 둘째, memory dump를 획득 후 live data 수집 |
첫 번째 방법을 수행하는 이유는 법적 증거물 사용해야 하는 경우에 무결성을 검증하기 위해 사용된다. 하지만 디스크 이미지를 추출할 경우, 무결성 검증으로 인해 live data를 수집하지 못 할 수 있다. 두 번째 방법은 악성코드가 감염되거나 침해 시스템의 분석을 진행할 경우, 신속 대응을 위해 무결성 검증 없이 진행하게 된다. 이 방법의 경우에는 신속한 대응은 가능하나 법적 증거물로서 효력이 떨어진다.
이 글에서는 두 번째 방법을 채택, 신속한 정보수집에 대해 알아보도록 하겠다. 정보수집은 휘발성 정도(Order of Volatility)에 의거해 진행한다.
※ order of volatility에 의거한 정보수집이란? 시스템에서 휘발성을 판단한 후 시스템에서 사라지기 쉬운 정보부터 수집하는 행위를 말한다. |
1. Live data 수집 도구
Memory Dump
현재 시스템에서 동작하고 있는 메모리(Memory)를 덤프(dump)하여 파일로 저장한다. 저장된 파일은 구조체를 활용하여 분석하거나 문자열을 확인하여 분석이 가능하다.
[그림 2] 덤프해야 할 메모리 영역
▲ Processes Information OS Information ETC
리눅스(Linux)에서는 /dev/mem이나 /dev/kmem을 dd명령을 통해 덤프할 수 있다. 하지만 MAC의 경우에는 /dev/mem이나 /dev/kmem을 확인할 수 없다. 따라서, 확인되지 않는 메모리를 읽기 위해서는 메모리 영역을 읽을 수 있는 별도 프로그램을 사용하여야 한다. 이 프로그램을 다운로드 할 수 있는 곳은 아래와 같다.
http://cybermarshal.atc-nycorp.com/index.php/cyber-marshal-utilities/mac-memory-reader
Mac Memory Reader의 사용 방법은 [그림 3]과 같다.
[그림 3] Mac Memory Reader 사용 방법
시간정보
시간정보는 분석되고 있는 시스템의 시간정보를 수집하여, 어떠한 사건이 언제 일어났는지에 대한 기준점을 만든다. 로그에 저장된 시간은 현재 시스템에 저장되어 있는 시간 정보를 바탕으로 저장되므로 시간정보를 반드시 수집하여 로그 분석에 어려움이 없도록 한다.
① date
동작 중인 시스템의 시간정보를 확인할 수 있다.
[그림 4] 시스템의 date 확인
② uptime
시스템이 부팅된 뒤 지금까지의 시간 정보를 담고 있다.
[그림 5] 시스템의 uptime 정보 확인
네트워크 정보(Network Information)
네트워크 정보는 시시각각 변하는 정보이므로 휘발성이 높다. 네트워크의 정보를 수집하는 방법은 아래 명령어를 참조하자.
① arp -a
arp는 네트워크 상에서 IP주소를 물리적 네트워크 주소로 대응시키기 위해서 사용되는 프로토콜이다. 대응되어 있는 물리적 네트워크를 확인하여 스푸핑(spoofing)이나 MITM(Man-In-The-Middle) 같은 공격 등을 확인할 수 있다.
[그림 6] arp –a 명령어 확인 결과
② netstat -an
netstat는 네트워크 연결 정보를 확인할 수 있다. -an 옵션은 현재 연결되어 있는 네트워크 연결 정보를 확인할 수 있는 옵션이다.
[그림 7] netstat –an 명령어 확인 결과
③ netstat -rn
netstat는 네트워크 연결 정보를 확인할 수 있다. -rn 옵션은 현재 설정되어 있는 라우팅 테이블에 대한 정보 확인이 가능하다.
[그림 8] netstat –rn 명령어 확인 결과
④ ifconfig -a
ifconfig -a 명령어를 사용하여 네트워크 장치에 대한 정보를 확인할 수 있다. 사용된 명령어 내용은 [그림 9]와 같다.
[그림 9] ifconfig –a 명령어 확인 결과
⑤ cat /etc/hosts와 cat /etc/network
Cat/etc/hosts와 cat/etc/network는 외부로 나가는 host들의 주소를 DNS에서 확인하기 전에 먼저 시스템에서 참조하는 파일이다. 해당 파일은 /etc/hosts와 /etc/network가 있으며, 파일의 내역은 [그림 10]과 같다.
[그림 10] cat/etc/hosts와 cat/etc/network 명령어 확인 결과
⑥ sudo lsof -i -P
lsof는 현재 열려있는 파일에 대한 정보를 확인할 수 있다. 열려있는 파일의 명령어, 사용하고 있는 네트워크 연결 정보 등을 확인할 수 있으므로 분석시 많은 도움을 준다.
[그림 11] sudo losf –i -P명령어 확인 결과
사용자 정보
① w
w 명령어를 통해 접속한 사용자 흔적을 확인할 수 있다.
[그림 12] w 명령어 확인 결과
② finger –lmsp
finger –lmsp 또한 접속한 사용자 흔적을 확인할 수 있는 명령어다.
[그림 13] finger –lmsp 명령어 확인 결과
③ last
사용자가 로그온 했던 흔적을 시간 순서로 확인할 수 있다.
[그림 14] last 명령어 확인 결과
④ cat/etc/passwd
cat/etc/passwd는 유닉스(Unix) 기본파일로 사용자의 UID, GID, 암호화된 패스워드 그리고 사용자가 사용하는 쉘(shell)에 대한 정보 등이 들어있다.
[그림 15] cat/etc/passwd 명령어 확인 결과
로그
① /var/log/
/var/log/ 명령어를 통해서 인스톨(install)된 정보 및 시스템 로그 등 다양한 정보를 확인할 수 있다.
[그림 16] /var/log/에서의 정보 확인
② bash_history
Bash_history를 통해 사용자 명령어 히스토리를 확인할 수 있다. 쉘을 이용하여 수행한 명령어를 저장하고 있으며, 경로는 /Users/사용자/ 폴더에 있다.
[그림 17] 사용자 명령어 history를 저장하고 있는 .bash_history 경로 확인
2. live data 수집 스크립트 만들기
분석을 진행하는 분석가나 시스템 관리자들은 시스템을 분석할 때 가장 먼저 휘발성 정도(order of volatility)를 생각하면서 분석을 진행해야 한다. 그 이유는 분석가가 사용하는 명령어가 무엇이냐에 따라 시스템에 남아 있는 귀중한 정보가 사라질 수 있기 때문이다. 그러므로 분석가는 시스템 정보가 최소한으로 손상되게 분석을 진행해야 한다. 최소한으로 손상되게 분석을 진행하기 위해서는 휘발성을 감안하여 스크립트를 작성한 후에 그 스크립트를 사용하여 분석 시스템에서 분석에 필요한 정보를 USB같은 저장 매체에 자동 저장하는 것이 좋다.
휘발성 정도(order of volatility)를 반영한 스크립트 실행 방법은 [그림 18]과 같다.
[그림 18] 휘발성 정도(order of volatility)를 반영한 스크립트 실행 방법
※ 관리자 계정이 사용하는 도구를 사용하는 경우가 존재하므로 패스워드를 물어볼 수 있다.
※ 스크립트 파일을 생성 후 파일에 실행 권한을 부여하여 사용한다.
[그림 19]는 [그림 18]에서 실행한 스크립트 내용이다.
mkdir $1 echo -------------------- HISTORY ----------------- > /$1/$2.txt echo command : history >> /$1/$2.txt history >> /$1/$2.txt echo -------------------- DATE --------------- >> /$1/$2.txt echo command : date >> /$1/$2.txt date >> /$1/$2.txt echo command : uptime >> /$1/$2.txt uptime >> /$1/$2.txt echo -------------------- Network Information ----------------- >> /$1/$2.txt echo command : arp >> /$1/$2.txt arp -a >> /$1/$2.txt echo command : netstat \(network connection\) >> /$1/$2.txt netstat -an >> /$1/$2.txt echo command : netstat \(routing table\) >> /$1/$2.txt netstat -rn >> /$1/$2.txt echo comamnd : ifconfig \(network device informaiton\) >> /$1/$2.txt ifconfig -a >> /$1/$2.txt echo command : /etc/hosts and /etc/networks >> /$1/$2.txt cat /etc/hosts >> /$1/$2.txt cat /etc/networks >> /$1/$2.txt echo command : lsof -i -P \(opend files information\) >> /$1/$2.txt lsof -i -P >> /$1/$2.txt echo -------------------- System Information ----------------- >> /$1/$2.txt echo command : uname \(system information\) >> /$1/$2.txt uname -a >> /$1/$2.txt echo command : df \(disk mounting information\) >>/$1/$2.txt df -h >> /$1/$2.txt echo command : /var/log/install.log \(installed software\) >> /$1.$2.txt cat /var/log/install.log >> /$1/$2.txt echo command : ps -aux \(Process list\) >> /$1.$2.txt ps -elf >> /$1/$2.txt echo -------------------- ACCOUNT ----------------- >> /$1/$2.txt echo command : /etc/passwd and /etc/shadow and /etc/group >> /$1/$2.txt cat /etc/passwd >> /$1/$2.txt sudo cat /etc/master.passwd >> /$1/$2.txt cat /etc/group >> /$1/$2.txt echo -------------------- User Activity ----------------- >> /$1/$2.txt echo command : w and finger \(established user\) >> /$1/$2.txt w >> /$1/$2.txt finger -lmsp >> /$1/$2.txt echo command : last \(logged user\) >> /$1/$2.txt last >> /$1/$2.txt echo -------------------- scheduled tasks ----------------- >> /$1/$2.txt echo command : at and crontab \(scheduled tasks\) >> /$1/$2.txt crontab -l >> /$1/$2.txt at -l >> /$1/$2.txt echo -------------------- Important Log ----------------- >> /$1/$2.txt echo command : dmesg \(booting message\) >> /$1/$2.txt sudo dmesg >> /$1/$2.txt echo command : /var/log/secure.log and /var/log/system.log >> /$1/$2.txt cp /var/log/secure.log /$1/cp /var/log/system.log /$1/ |
[그림 19] 스크립트 실행 내용
※ 경우에 따라서 safari cache 정도 또는 다른 애플리케이션 로그를 추가 수집해야 할 수 도 있다.
[그림 19]의 파일이 실행된 후 나온 결과는 [그림 20]과 같다.
[그림 20] 스크립트 실행 결과
3. 사고 시점 분석
시스템에 침해가 일어났을 경우, 가장 먼저 해야 할 일은 live data를 수집하는 것이다. 수집 후 침해 징후를 판단하여 타임라인(Time Line)을 확인한다. 확인된 타임라인을 바탕으로 침해가 발생했던 시기의 데이터를 확인한다.
find 명령어는 시스템 침해가 발생했을 때의 신규생성 되거나 조작된 파일을 찾거나 의심파일의 타임라인을 만들 때 매우 유용하게 사용된다. find 명령어는 시간 정보를 확인하거나, 권한, 이름 등을 검색할 수 있으며, 검색된 파일의 메타정보를 추가적으로 확인이 가능하다.
find 명령어를 알아보기 전에 먼저 MAC에서 파일의 시간 정보가 어떻게 변하는지 확인해 보자.
MAC 시간 정보 알아보기
MAC에서 명령어로 확인할 수 있는 시간 정보는 [표 1]과 같다.
Time Information | 설명 |
Access Time | 파일을 읽거나 실행한 경우 갱신 |
Modify Time | 파일의 내용을 수정한 경우 갱신 |
Change Time | 파일의 Metadata가 수정된 경우 갱신 (Modify Time도 같이 갱신 됨 ) ※ Metadata : 파일의 size, 권한 등 을 말합니다 |
Create time | 파일이 생성된 시간 정보를 담고 있음 (Inode에 저장된 생성 시간 정보) |
파일을 생성하여 생성된 파일의 시간 정보를 확인해보자.
Command: touch test.txt
Command: stat test.txt
[그림 21] 생성된 파일의 시간 정보 확인
만들어진 파일의 권한을 수정한 후 시간 정보를 확인해 본다. 시간 정보를 확인해 본 결과 권한을 변경하였을 경우 체인지 타임(Change Time)만 변경되는 것을 알 수 있다.
Command: chmod 777 test.txt
Command: stat test.txt
[그림 22] change Time 변경 확인
그럼 만들어진 파일에 내용("ahnlab")을 추가한 후 시간 정보의 변화를 확인해보자. 시간 정보를 확인 결과 아래와 같이 Change Time과 Modification Time이 변경되는 것을 알 수 있다.
Command : echo ahnlab >> test.txt
Command : stat test.txt
[그림 23] Change Time과 Modification Time 변경 확인
tar로 압축된 파일 시간 정보
"tar cvf tar.tar *" 명령어를 사용하여 폴더 안에 있는 파일을 전부 압축했다. 압축되기 전 파일들은 aaa.txt, bbb.txt, ccc.txt가 존재했으며, 시간정보는 아래와 같다.
[그림 24] 압축 전 파일과 시간 정보
"tar xvf tar.tar" 명령어를 사용하여 압축을 풀었다. 해당 결과에서 변경된 시간 정보는 Access Time과 Change Time 이다. 그 외 나머지 시간은 압축 전과 동일하다.
[그림 25] 압축 후 시간 정보 변경
Tar 파일을 확인한 결과 Tar 파일의 Access Time과 풀린 파일들의 Access Time, Change Time이 동일하다는 것을 알 수 있다. 만약 침해 시스템에서 이와 같은 현상을 확인할 경우, 압축이 풀린 시점을 확인할 수 있게 된다.
[그림 26] Tar 파일 확인 결과
find 명령어 사용법 및 활용법
find 명령어를 사용하기 위해서는 파일의 시간 변화를 정확히 알아야 한다. find 명령어는 대부분 침해 시간에 생성되거나 수정된 파일을 조사할 때 쓰이게 되므로 디스크 전체를 선택하여 조사하게 된다. 이때 파일의 시간 변화와 잘못된 옵션은 디스크가 크면 클수록 많은 시간을 소요하게 만든다. 그러므로 반드시 올바른 옵션과 시간변화에 대한 정확한 이해 후 사용해야 한다.
Command: find "디렉터리" "옵션" "찾은 파일에 대한 작업"
디렉터리: 선택된 디렉터리 이하의 디렉터리를 검색 옵션 · name : 입력된 파일명과 동일한 내역을 출력 · perm : 입력된 권한과 동일한 내역을 출력 · ETC..... 찾은 파일에 대한 작업 · print : 화면에 출력 · exec : exec 다음에 나오는 명령어 수행 · ETC..... |
① 사용 예
find / -name *.sh –print
find / -name *.sh -exec stat {} \;
[그림 27] find 명령어 사용 예
② find 명령어의 + 와 -
find 명령어의 시간 옵션과 권한 옵션을 적용하여 실행할 때 숫자를 넣어주는데 이때 +와 -를 사용한다. + 와 - 를 사용하는 옵션의 내역은 아래와 같다.
-Bmin 숫자, -Btime 숫자, -amin 숫자, -atime 숫자, -cmin 숫자, -ctime 숫자, -mmin 숫자, -mtime 숫자 -depth 숫자, -size 숫자, etc... |
※ Bnewer 파일, anewer 파일, cnewer 파일, mnewer 파일 등도 알아두면 편리하다.
stat 명령어를 사용한 후 그 시간 정보와 find 옵션을 매핑하면 다음과 같다.
access time => amin, atime
change time => cmin, ctime
modify time => mmin, mtime
create time => Bmin, Btime
만약 -atime -27m 이면 27분 전부터 지금까지 사용한 것을 의미한다. 숫자 뒤에 붙어있는 m은 min 즉 분을 말하며, m외의 옵션은 s(초), m(분), h(시간), d(일), w(월) 등이 있다.
4. MAC 메모리 포렌식(MAC Memory forensics)
MacMemoryReader를 사용하여 분석을 진행할 경우, strings를 사용하여 문자열 검색은 가능하나 파싱 프로그램을 사용한 분석은 불가능하다. 하지만 파이어와이어(firewire)를 사용하여 수집된 메모리 덤프(memory dump)나 vm웨어(vMware)의 vmem 파일을 사용 할 경우, volafox라는 메모리 파싱 도구를 사용할 수 있다.
volafox란? 구글 프로젝트로 생성된 메모리 분석도구. n0fate라는 아이디를 사용하는 포렌식 전문가가 만들었다. 현재 베타 버전으로 등록되어 있다. download : http://code.google.com/p/volafox/ |
사용 방법: python volafox.py -i "Memory dump 파일" -s "Kernel 파일(/ 경로에 mach_kernel 파일)" -o "옵션명"
[그림 28] volafox 사용 방법
Volafox는 수집된 메모리에서 OS의 버전 및 정보와 프로세스 목록 등을 확인할 수 있게 해준다.
[그림 29] volafox 사용 옵션
[그림 29]의 옵션을 사용한 volafox의 결과는 [그림 30]과 같다.
[그림 30] volafox 옵션 사용 결과 확인
5. 사파리(Safari) 분석
MAC에서 기본적으로 제공하는 웹 브라우저는 사파리(Safari)이다. MAC에서 동작하는 사파리가 남기는 흔적을 확인하기 위해서 피리스트(Plist) 파일을 확인하는 방법과 DB 파일을 확인하는 방법이 있다.
DB 파일은 무료 소프트웨어인 SQLite Database Browser를 사용하여 확인이 가능하며, 피리스트는 피리스트 에디터를 사용하여 확인이 가능하다.
이 소프트웨어의 다운로드 URL은 다음과 같다.
- DB -
http://sqlitebrowser.sourceforge.net/index.html
- Plist -
http://www.icopybot.com/download.htm for Windows
http://www.apple.com/downloads/macosx/development_tools/plisteditpro.html for MAC
사파리 분석을 위해서 [표 2]와 같은 파일을 확인하여 분석한다.
파일명 | 파일 경로 |
Cache | /Users/dorumugs/Library/Caches/com.apple.Safari/Cache.db (방문한 사이트에서 전송 받은 데이터) |
Bookmark | /Users/dorumugs/Library/Safari/Bookmarks.plist (즐겨찾기로 저장된 페이지) |
History | /Users/dorumugs/Library/Safari/History.plist (웹 사이트에 방문한 기록) |
Last Session | /Users/dorumugs/Library/Safari/LastSession.plist (비정상적으로 종료된 사용자의 세션을 저장한 파일) |
Download | /Users/dorumugs/Library/Safari/Downloads.plist (사용자가 다운로드한 파일정보) |
Cookie | /Users/dorumugs/Library/Cookies/Cookies.plist (웹서버 세션 유지 및 사용자 정보를 담고 있는 파일) |
[표 2] 사파리 분석을 위한 파일 리스트
DB 파일
DB 파일은 확장자가 DB인 것을 말한다. 사파리가 저장하는 파일 중 DB 파일로 저장되는 것은 Cache.db가 있으며, 파일의 내용을 확인하는 방법은 SQLite Database Browser를 사용한다. 확인한 내역은 [그림 31]과 같다.
[그림 31] SQLite Database Browser를 사용해 확인한 DB 파일
Plist 파일
사파리가 남기는 파일 중 확장자가 Plist인 파일이 존재한다. Plist 파일은 Property list라고 하며, Property List Editor를 사용하여 분석이 가능하다. 이 툴은 윈도우용과 MAC용 점검 도구가 다르다. 윈도우용은 iCopyBot for Windows, MAC용은 애플에서 제공하는 Plistedit PRO를 사용하여 점검할 수 있다.
[그림 32] iCopyBoy for Windows을 이용해 점검한 내역
[그림 33] Property List Editor for MAC을 이용해 점검한 내역
6. Keychain 접근 방법
키체인(keychain) 안에는 사용자가 사용했던 패스워드가 기록되어 있다. 사파리에서 사용했던 계정 정보와 메신저 계정정보 또는 무선네트워크 계정정보 등의 패스워드를 담고 있는 것이다. 이러한 이유로 해당 키체인으로 접속하게 되면 보안상으로 취약하다. 기본적으로 MAC에서 GUI 툴(keychain Access)로 제공을 하나, 간단히 터미널(terminal)로도 확인할 수 있다.
[그림 34]GUI 툴인 Keychain Access 화면 (응용프로그램 -> 유틸리티 -> 키체인 접근)
[그림 35] Command line 툴인 security
USB 흔적 조사
USB는 악성코드를 유포하는 방법으로 이용될 수 있으며, 악의적의 사용자에게 데이터를 저장할 수 있는 공간을 제공해 준다. 이와 같은 이유로 USB는 분석가에서 굉장히 중요한 정보로 활용 될 수 있다.
윈도우에서는 레지스트리에 USB 사용 흔적이 존재한다. 하지만 MAC에서는 USB가 삽입된 정보를 확인하기 위해서 kernel.log를 확인해야 한다.
경로는 /var/log/kernel.log이며, USB가 삽입된 정보를 확인한 내역은 [그림 36]과 같다.
[그림 36] USB가 삽입된 정보 확인 내역
날짜 및 시간 : Feb 14 10 :13 : 17 이벤트 : USB Identifier Serial Number : 67B0702040B0C32B Vendor ID : 0x1718 Product ID : 0x1020 Firmware Revision : 0x100 |
[그림 37] USB 로그 정보를 확인한 결과
지금까지 2회에 걸쳐 MAC 포렌식을 위한 방법을 알아보았다. MAC 포렌식을 위한 HFS+의 파일 시스템과 파일 복구, MAC 에서의 정보 수집 등이다. 지금까지 다룬 내용은 MAC 포렌식 과정 중 일부이긴 하지만 반드시 진행되어야 하는 기본적인 사항들이다. 이 글이 MAC 포렌식을 이해하는데 조금이나마 도움이 되었으면 하는 바람이다.@
보안정보의 저작권은 저자 및 ㈜AhnLab에 있으므로 무단 도용 및 배포를 금합니다.
이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.
단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.
정보 이용 문의 : contents@ahnlab.com
