[AXIOM] 이메일, 멀티미디어 분석과 암호화 등 안티 포렌식 분석 기능

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM으로 이메일, 멀티미디어에 대한 분석과 암호화, 안티 포렌식에 대한 분석기능에 대해 알아 봅니다. 모두 화이팅하세요.

 

Email Artifacts

OS X, Windows, Android, iOS 용 이메일 아티팩츠에 대한 분석을 지원합니다.

전통적인 이메일 클라이언트 아티팩츠(POP, IMAP 등) 뿐만 아니라 웹 기반 이메일에 대한 분석도 지원합니다.

PST, OST 와 같은 복합 메일 구조의 내용도 분석할 수 있습니다.

 

 

Email Content

분석 화면의 컬럼은 이메일 클라이언트 마다 자동으로 다르게 보입니다.

 

Email Source Linking 

 

Email Message Headers

이메일 헤더에 포함된 정보의 예는 다음과 같습니다.

- 이메일의 원래 위치 (the source of an email)

- 메시지가 거쳐간 이메일 서버들 (the email servers the message has passed through)

- 송신자와 메일 서버의 IP 주소 (IP addresses of the sender and the email servers)

- 메시지를 보내는데 사용된 이메일 클라이언트 (the email client used to send the message)

- 송신자의 실제 메일 주소 (the ture email address of the sender)

 

각 이메일 서버의 타임스탬프가 이메일 헤더에 기록되는데, 사용자가 타임라인을 조작하였다고 할지라도 이메일 헤더의 시간 정보를 검토하면 메시지가 실제로 전송된 시간을 알아낼 수 있습니다.

 

Email Attachments

 

Creating An Email Report

보고서에 넣을 이메일이 PST 또는 OST에서 나온 것이라면, 그것은 새로운 PST 컨테이터 형식으로 추출될 수 있습니다.

 

Searching Email

 

Media Artifacts

지원되는 사진 포맷은 다음과 같습니다.

- JPG, GIF, PNG, BMP 등

 

지원되는 동영상 포맷은 다음과 같습니다.

- MPEG, AVI, MOV 등

 

Pictures

프로세싱 할 때 Pictures 옵션에서 Extract EXIF data 옵션이 체크되어 있는지 확인하여야 합니다.

 

Videos

프로세싱 할 때 Video 옵션에서 Create a preview still fames가 체크되어 있는지 확인하여야 합니다.

영상 조각을 만들 목적으로, AXIOM Process는 모든 still frams를 해당 동영상에서 10% 간격으로 추출합니다.

전체 동영상을 열람하지 않고서도, 빠르게 분석 가능합니다.

아동 포르노 영상 선별에 효과적입니다.

보통 아동 포르노는 윈도우 운영체제의 썸네일에서 아동 포르노가 노출되지 않도록 시작과 끝에 검은색 화면을 띄우는 데 이것에 착안하여 빠른 선별을 가능하게 합니다.

짤라낸 영상 화면 만으로는 중간에 누락된 화면도 있을 수 있기 때문에, 상영시간이 긴 동영상은 실제 영상을 보아야 할 필요도 있습니다.

 

Categorizing Pictures Using Magnet.ai

Magnet.ai를 이용하면 분석대상 사진파일을 신속하게 자동으로 식별 가능합니다.

Magnet.at는 다음과 같은 것을 선별하게 합니다.

- 무기(Weapons), 아동 학대(Child abuse), 알몸 노출(Nudity), 마약(Drugs) 등

 

 

Encryption & Anti-Forensics Tools

암호화된 파일을 처리할 때, AXIOM Process는 해당 파일의 내용에 대하여 entropy check를 수행합니다.

케이스에서 데이터의 내용에 대한 임의성을 확인하고, 0~8까지의 범위에서 Entropy Value를 생성합니다.

어떤 암호화 프로그램, 어떤 암호화 방법론이 적용 되었는지 확인시켜 주지는 않습니다.

암호화 된 파일이 아닌 대량의 False positives(오탐)가 발생하기도 합니다.

Encrypted Files에 체크하면, 검색시 처리시간으로 인해 전체 작업이 지연될 수도 있습니다.

암호화 및 안티 포렌식 도구를 자동으로 식별합니다.

 

27종의 암호화 등 안티포렌식 프로그램을 자동으로 식별합니다.

- AES Crypt, Axcrypt, BestCrypt, Ccleaner, Check Point Encryption, Eraser, File Shredder, Folder Lock, Freenet, GPG, i2P, Kruptos 2 Professional, Mask Surf Pro, OpenPuff, Our Secret, PGP, Slacker, Sophos SafeGuard, Spotflux, Steg, Steganos Privacy Suite, Symantec Drive Encryption, Timestomp, Tor, TrueCrypt, Veracrypt, Winclear

 

만약 암호화/안티 포렌식 도구의 흔적이 발견되었다면 추가적으로 아래의 아티팩츠의 동작여부도 분석하여야 합니다.

- User Assist

- Prefetch

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)