EnCase

[EnCase] 암호 분석 (4)

도깬리 2022. 7. 5. 07:02

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 암호 분석 마지막 시간입니다. 모두 화이팅 하세요.

 

TureCrypt 볼륨에 대한 패스워드 복구

TureCrypt 암호화 볼륨을 복호화 할 수 있는 프로그램은 현존하지 않습니다.

따라서 우회하여 암호를 획득하는 수 밖에 없습니다.

일반적으로 윈도우 시스템에 존재하는 암호 정보는 다음과 같습니다.

- OS 사용자 및 패스워드

- 캐시된 net logon 패스워드

- IE (Internet Explorer) 패스워드와 자동완성 형식 정보

* 이것은 보호된 저장 영역(PSSR)에 존재합니다. PSSR은 사용자마다 다르고, NTUSER.DAT 파일에 \Software\Protected Storage System Provider 안에 포함되어 있습니다.

- OutLook PST 파일의 패스워드

- 암호화된 NTFS 파일

이러한 정보는 Analyze EFS 옵션을 볼륨에 적용하고, EnCase Secure Storage 탭에서 볼 수 있습니다.

 

 

윈도우 로그온 패스워드도 TrueCrypt 암호화 볼륨에 사용되었을 가능성이 있으므로 어떤 OS를 사용하고 있는지 확인해야 합니다.

볼륨에서 Analyze EFS를 선택하여 윈도우 사용자에 대한 계정정보를 알 수 있습니다.

EnCase Dictionay Attack을 실행하여 복호화할 수 있습니다.

 

 

레인보우 테이블 (Rainbow Table)

윈도우 NT기반 시스템은 사용자의 패스워드를 2가지 포맷으로 저장합니다.

hash라고 불리는 고정된 길이의 16진수로 구성됩니다.

 

2가지 포맷

LAN Manager hash (LM hash)

Windows NT hash (NT hash)

Windows 95, 98 이전 버전들은 네트워크 인증을 위해서 LM hash를 사용합니다.

Windows 2000, XP, 2003 서버 등 이후 버전들은 기본적으로 NT hash를 사용하나, 구 버전과 호환 가능하도록 LM hash도 사용합니다.

Windows Vista 이후 버전은 기본적으로 LM hash를 저장하지도 않습니다.

윈도우 시스템에는 기본적으로 비활성화로 설정하지 않는 한, 14개 이하의 문자로 된 모든 사용자 패스워드에 대한 LM hash, NT hash를 저장하지만, 만약 패스워드 길이가 14개 문자 이상이거나, LM hash 옵션이 비활성화 되어 있으면, LM hash는 생성되지 않습니다.

LM hash의 취약점은 전체 길이 16바이트의 패스워드가 8바이트의 해시 대문자로 각각 나뉘어 저장된다는 점입니다.

혐의자의 LM hash, NT hash를 확인하기 위해서는 Analyze EFS를 한 다음, Secure Storage에서 User List를 내보내기 한 후, 텍스트 파일을 열어 보면 됩니다.

 

 

LM hash의 해독 원리는 해독 프로그램(CAIN)에 분석 대상 LM hashAdd하고, 인터넷에서 다운로드 해둔 Rainbow table(사전의 단어나 문자를 조합하여 이를 해시값으로 계산하여 모아 놓은 일종의 DB)Add하여 서로 비교한 후 일치하는 값이 나오면 그것으로 암호를 해독한다는 것입니다.

따라서, LM hash를 해독하기 위해서는 해독 프로그램(CAIN)Rainbow table(http://ophcrack.sourceforge.net/tables.php)이 미리 준비되어 있어야 합니다.

- Rainbow table의 용량이 매우 큽니다.

- 알파벳 문자로 된 기본적인 LM hash table : 610 MB

- 영문자/숫자/부호로 된 고급형 : 64 GB

 

 

Cain 프로그램에서 실제 패스워드에서 사용된 NT hash로 검증될 수 있는 올바른 대/소문자를 보여줍니다.

Cain Program Files 폴더에서 LMNT.LIST를 메모장으로 열어 NT Password를 복사합니다.

Bob에 대한 윈도우 사용자 패스워드를 확인하였다면, 해당 패스워드로 TrueCrypt 암호화 볼륨에 대한 복호화를 시도할 수 있습니다.

또한 Bob의 사용자 패스워드를 알고 있으므로, 암호화 되어 있는 파일(: money(1).jpg)들에 대해서도 Secure Storage --> Enter Items 하여 위 패스워드를 기입하면, 복호화되어 그 내용이 보이게 됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics

저작자표시 비영리 변경금지

'EnCase' 카테고리의 다른 글

[EnCase] 프리페치(Prefetch) 분석 (2)  (0) 2022.07.11
[EnCase] 프리페치(Prefetch) 분석 (1)  (0) 2022.07.07
[EnCase] 암호 분석 (3)  (0) 2022.07.03
[EnCase] 암호 분석 (2)  (0) 2022.06.29
[EnCase] 암호 분석 (1)  (0) 2022.06.26

'EnCase'의 다른글

  • 현재글[EnCase] 암호 분석 (4)

관련글

댓글

티스토리툴바