[FTK] 비트락커(BitLocker) 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Windows 7 이래 포렌식에서 이슈가 되었던 BitLocker에 대해 알아보겠습니다. 모두 화이팅 하세요 !!!

 

BitLocker Overview

BitLocker 도입 목적은 분실, 도난 당한 노트북의 데이터를 보호하기 위함입니다.

하드드라이브가 특정 컴퓨터에서 인증된 사용자에 의해서만 접근 가능하도록 구현되었습니다.

이미징 전에 압수된 컴퓨터에서 하드드라이브를 분리하는 전통적 포렌식 절차에 수정이 필요하게 되었습니다.

포렌식 관점에서 다행스러운 점은 BitLocker가 디폴트가 아니며, Windows 7 출시 당시, Enterprise 버전 또는 Ultimate 버전에서만 작동하였다는 점입니다.

즉, 범죄현장에서 자주 만나게 되는 Home, Professional 버전에는 BitLocker 기능이 대부분 존재 하지 않았습니다.

BitLocker를 사용하기 위해서는 BitLocker 시스템 파일이 포함된 Secondary partition이 생성되어야 하며, 이러한 파티션은 해당 시스템을 부팅하는데 이용됩니다.

복구키가 없이는 절대로 BitLocker로 보호된 시스템을 열람할 수 없습니다.

BitLocker Drive Encryption은 볼륨 전체를 암호화합니다. (Full-Volume encryption)

BitLocker 인증 이후에 정상적인 부팅이 진행됩니다.

 

BitLocker로 암호화된 하드드라이브를 분리하여 다른 PC에 장착한 경우

복구모드로 동작하게 되고, 패스워드 또는 복구키를 요구하게 됩니다.

부팅 이전 단계에서부터 인증을 요구하기 때문에 이를 깰 수 있는 해킹 소프트웨어가 존재할 수 없습니다.

BitLocker를 사용하였더라도  VBR의 일부 영역은 암호화 되지 않은 상태입니다.

따라서, Volume S/N 정도는 확인 가능합니다.

만약, OS 볼륨이 아니라, DATA 볼륨만 암호화 하였다면  OS 볼륨에서 Link file을 조사하면 DATA 볼륨에 어떤 파일이 존재했었는지 확인 가능합니다.

Windows 7에서는 시스템 예약 파티션(200MB~300MB)이 제일 앞에 오고, 드라이브 문자는 할당되어 있지 않습니다.

 

 

Windows 7 경우, USB 드라이브 또는 FAT 볼륨에서도 BitLocker 설정이 가능합니다.

BitLocker 암호화는 TPM(Trusted Platform Modue) 칩을 사용하는 Machine Level에서 암호화가 시작됩니다.

BitLocker의 암호화 알고리즘은 AES-CBC 입니다.

 

BitLocker Requirements

Windows 7 경우, Ultimate, Enterprise에서 동작합니다.

만약 TPM 칩을 암호화를 위하여 사용한다면, TPM version 1.2 이후라야 합니다.

BIOS는 키가 저장된 USB 메모리를 윈도우 부팅 이전에 읽을 수 있도록 구현되어야 합니다. 즉 BIOS에 Trusted Computing Group(TCG)이 적용되어야 합니다.

BitLocker가 구동되기 위해서는 NTFS 볼륨이 2개로 나뉘어져 있어야 합니다.

 

System Volume (SV)

암호화 되어 있지 않습니다.

boot file과 BitLocker utilities와 code를 포함합니다.

 

Operating System Volume (OSV)

암호화 되어 있습니다.

운영체제와 관련된 artifacts가 존재합니다.

 

암호화되어 있지 않은 유일한 데이터는 BitLocker 메타데이터 파일과 volume boot record($Boot) 입니다.

 

 

BitLocker - Operating System

윈도우 탐색기에서 우클릭 한번 만으로도 볼륨 암호화가 가능합니다.

윈도우 7을 새로 설치하면 기본적으로 2개의 드라이브가 생성됩니다.

 

Boot Partition (System Volume, SV)

Boot file과 BitLocker 프로그램이 포함되어 있습니다.

암호화 되어 있지 않습니다.

윈도우 Vista의 경우 S:\ 드라이브 문자를 할당하였으나, 윈도우 7에서는 드라이브 문자를 할당하지 않습니다. 그러나 디스크 관리에서 강제로 드라이브 문자를 할당하는 것은 가능합니다.

 

System Partition (Operating System Volume, OSV)

Windows 7 운영체제가 설치되어 있습니다.

암호화 되어 있습니다.

 

TPM 칩

BIOS, Boot Code(MBR, Boot Manager 등)에 대한 해시값을 계산하여 PCR(Platform Configuration Registers)에 저장하여 둡니다.

암호화에 필요한 기본적인 기능을 갖추고 있습니다.

- Hashing, Digital Signature, 키생성 등

“짝꿍 HDD”가 누구인지 알고 있습니다.

OS 부팅 이전에 컴퓨터와 HDD를 인증하는 과정을 수행합니다.

다음의 2가지 방법으로 인증합니다.

USB boot key

PIN (패스워드)

TPM 칩에는 Storage Root Key(SRK)가 저장되어 있고, 이것은 Volume Master Key(VMK)라고도 불립니다.

BitLocker 프로그램은 이 키를 이용하여 RAM에 있는 데이터를 암호화/복호화 합니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)