[EnCase] 암호 분석 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 암호분석 세번째 시간이네요. 오늘도 열심히 달려 볼까요?

 

암호 해독

암호화된 데이터를 해독하는 방법

- 사람의 실수나 취약점을 이용

- 암호화 알고리즘의 취약점을 이용

 

사람과 암호

조사를 종료하기 이전에 암호화된 데이터를 인지하는 것이 좋습니다.

대부분의 암호는 키값으로 Password나 Passphrase를 이용합니다.

사람은 패스워드와 관련하여 다음과 같은 실수를 하기 마련이므로, 분석시 이를 감안합니다.

- 누구나 알 법한 단어, 이름, 문구를 사용함

- 가족, 친구, 애완동물, 취미, 관심사, 환경 등과 연관된 것을 사용함

- 어딘가에 적어 놓거나 암호화 되지 않은 포맷으로 저장하여 두거나, 주위의 누군가에게 알려줌

- 짧은 패스워드를 하나 또는 몇 개를 지속적으로 반복해서 사용함

- 패스워드 목록을 짧은 패스워드나 암호방식을 사용한 파일에 저장하여 둠

암호를 풀기 위해서는 혐의자와 관련된 배경 정보를 많이 확보할 필요성이 있습니다.

현장에 임할 때 컴퓨터 주변을 잘 조사하여, 패스워드가 적힌 메모지, 노트 등을 확보할 필요가 있습니다.

현장에 임할 때 혐의자에게 암호화된 데이터의 존부와 패스워드를 반드시 물어서 확인할 필요가 있습니다.

동일한 컴퓨터에 서로 다른 형식의 암호화 알고리즘이 적용된 데이터가 존재할 수도 있습니다.

암호화된 데이터를 해독하는데 필요한 패스워드가 쉽게 복구 가능한 다른 포맷으로 저장되어 있을 수도 있습니다.(예: 패스워드 리스트가 text 파일로 저장)

 

암호해독 방법

암호화 관련 소프트웨어의 운영모드에 대해 조사해야 합니다.

 

패스워드/암호화 해킹 전문 사이트를 이용

http://www.password-crackers.com

 

사전 공격(Dictionary-based Attack)

각각의 패스워드, 패스프레이즈를 순서대로 대입하면서 그 중 하나가 일치하기를 바라는 방식입니다.

다양한 사전 파일(Word lists)를 확보해 두는 것이 좋습니다.

단어, 숫자, 문자 등을 사전에 정의한 길이로 조합하여 사전을 만들어 주는 프리웨어를 이용해도 됩니다.

Egoistic Wordlist Generator 

 

무작위 공격(Brute Force Attack)

특정한 길이의 문자, 숫자에 대한 모든 가능한 조합을 테스트하여 패스워드나 패스프레이즈를 알아내는 방식입니다.

일반적으로는 ‘사전 공격’을 먼저 시도하고 난 후, ‘무작위 공격’을 시도합니다.

 

키 공격(Key-based Attack)

어떤 암호화 알고리즘은 단어나 문구를 사용하지 않고, 패스워드/패스프레이즈에서 암호화 키를 생성해냅니다.

암호화 알고리즘이나 구현 방식에 취약점이 있을 경우, 패스워드를 모르고도 관련 데이터를 해독 가능합니다.

예) 플레인 텍스트 ZIP 파일 공격

패스워드가 걸려 있는 ZIP 파일에서 적어도 하나의 파일을 해독할 수 있다면, 다른 파일도 해독 가능합니다.

다만 AES 알고리즘을 사용하여 암호화된 ZIP 파일은 해독 불가능합니다.

WinZip을 사용하면 압축파일 안에 내포된 개별 파일의 CRC 값을 확인할 수 있고, 압축파일 주위의 압축대상 파일의 그것과 CRC 값이 같은지 확인할 필요가 있습니다.

 

 

압축하는데 사용한 프로그램을 식별해야 합니다.

식별된 압축프로그램을 설치한 후, 압축대상 파일 중 하나(Plain-text file)를 해당 압축프로그램으로 압축하여 Plain-text archive를 만듭니다. 이때 파일 이름을 동일하게 합니다.

ARCHPR(Advanced Archive Password Recovery) 프로그램을 설치하여, 암호해제 대상 압축파일과 위 Plain-text archive를 Add 하여 복호화를 실행합니다.

복호화된 파일을 확인합니다. (ARCHPR 평가 버전(Trial Version)은 압축파일 안에 여러 개의 파일이 포함되어 있을 경우, 그 중 하나의 파일만 Plain-text 방법으로 복호화 가능함)

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics