[EnCase] 암호 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다. 장마철이라 그런지 계속 비가 내리네요.

오늘은 암호분석 두번째 시간입니다. 모두 화이팅 하세요.

 

스테가노그래피 기법의 암호화 소프트웨어 식별

Steganography : 사진이나 오디오 파일 등에 암호화된 데이터를 숨기는 기법입니다.

해시분석을 통해 이러한 소프트웨어를 식별 가능합니다.

필요한 해시셋은 다음 사이트에서 구할 수 있습니다.

- Hashkeeper

- NSRL (National Software Reference Library)

또한 암호화 프로그램과 관련된 키워드를 검색함으로써 식별 가능합니다.

 

암호화된 파일

암호화 소프트웨어에 대한 지식을 기반으로 분석 대상 시스템에 암호화된 파일이나 데이터가 있는지 확인 가능합니다.

 

PGP의 경우

PGP 암호화 파일의 기본 확장자(.PGP), 암호화/복호화 키가 포함된 파일의 확장자(.PKR, .SKR)를 기반으로 검색합니다.

파일의 내용 기반으로 검색할 경우에는 파일의 시그너처가 ‘PGP’ 인지 여부를 조사해야 합니다.

 

TureCrypt의 경우

TureCrypt 암호화된 볼륨파일의 기본 확장자(.tc), 관련된 레지스트리(SOFTWARE 하이브의 Classes 키 등)의 존재 여부를 조사합니다.

TureCrypt Volume의 존재 여부가 확인되면, 실행파일의 위치를 Classes 키에서 확인합니다.

TureCrypt 기본 확장자(.tc, 단 TrueCrypt의 경우, 사용자는 확장자를 마음대로 정할 수 있음)를 기준으로 필터링 하여 암호화 볼륨 파일이 존재하는지 확인합니다.

관련 바로가기 링크 파일의 존재 여부를 조사하여 해당 볼륨 파일을 열어본 사실이 있는지 분석합니다.

 

 

Microsoft Word 문서나 ZIP 파일은 뷰어로 해당 파일을 열기 전에는 암호화된 데이터가 포함되어 있는지 알기 어렵습니다.

마운트한 후, EnCase의 Description 컬럼에 암호화 되어 있음을 식별가능하므로 이를 참조합니다.

 

 

암호화 소프트웨어에 관한 프로그램 폴더 정보, 바로가기 파일, 파일 확장자, 파일 시그너처를 통해서도 암호화된 파일을 식별할 수 없다면, 어떻게 하여야 하는가?

TureCrypt의 경우, 여기에 해당할 가능성이 매우 높습니다.

 

TrueCrypt 볼륨의 포맷

처음 64바이트 (Salt 라는 무작위 값임)를 제외하고 볼륨의 전체영역이 암호화 되어 있습니다.

‘파일 크기’가 단서가 될 수도 있습니다.

즉, TrueCrypt 볼륨은 디스크로 마운트 되기 때문에, 보통의 파일보다 파일의 크기가 상당히 큽니다.

대부분의 암호화 알고리즘은 전체 파일을 임의의 값으로 암호화 하기 때문에, 그러한 임의의 값이 많이 포함된 데이터라면 암호화 되어 있을 확률이 매우 높습니다.

 

Encrypted Data Finder

EnCase에서 암호화된 데이터를 찾아주는 EnScript 입니다.

가장 적게 나오는 바이트 값의 빈도수와 가장 빈번하게 나오는 바이트 값의 빈도수를 %로 보여줍니다.

%가 높을수록 임의의 데이터가 분포되어 있을 확률이 높아 그 만큼 암호화되어 있을 가능성도 높습니다.

암호화된 볼륨 뿐만 아니라, 암호화된 워드 문서와 압축파일도 식별할 수 있습니다.(압축파일의 경우 암호화 된 것으로 잘못 식별할 수도 있음)

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics