[AXIOM] 클라우드 아티팩츠 분석기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

바쁜 일정 때문에 오랜만에 글을 올립니다. 오늘은 AXIOM에서의 클라우드 데이터 분석기능에 대해 알아 보겠습니다. 모두 화이팅 하세요.!!!

 

What is the clould ?

클라우드에서 획득되는 데이터는 로컬 디바이스에 저장된 데이터가 아니라 서버로부터 정보를 추출하는 것으로 이해하여야 합니다.

“거기엔 구름은 없어, 그냥 단지 누군가의 컴퓨터만 있을 뿐이야.(There is no cloud, just someone else’s computer.)"

 

디지털 포렌식 분야에서 조사 대상 데이터의 출처 중 가장 빠르게 증가하고 있는 것은 로컬의 디바이스가 아니라 클라우드 서버에 저장된 데이터입니다.

사람들이 일상적으로 이용하는 상당수의 서비스가(예: Social media, email, remote storage) 엄청난 양의 정보를 포함하고 있으며, 바로 이것이 조사의 핵심입니다.

여기에는 데이터를 획득할 수 있는지 여부에 대한 법률적인 문제가 있는데, 동의에 의한 경우에도 특정한 데이터에 대해서 확보해야할 수 있습니다.

 

AXIOM은 다음과 같은 클라우드 플랫폼으로부터 데이터를 획득하고 분석할 수 있습니다.

- Facebook

- Instagram

- Twitter

- Google

- Apple

- Microsoft / Office 365

- Dropbox

- Box

 

위 플랫폼(acquisition sources)에서 데이터 획득을 위하여 이용가능한 data point가 있습니다.

이런 데이터 포인트는 물리적 디바이스에서는 이용할 수 없고, 만약 조사하는 도중에 검토할 필요가 있다면 이러한 정보는 클라우드에서만 확보 가능 할 것 입니다.

클라우드의 데이터를 로컬에 저장된 데이터와 연결함으로써, 퍼즐의 잃어버린 조각을 찾아 낼 수 있을지도 모릅니다.

 

 

Acquiring Data with AXIOM Cloud

AXIOM Cloud 라인선스가 필요합니다.

Acquire Evidence를 선택하면 AXIOM Cloud가 지원되는 모든 플랫폼을 볼 수 있습니다.

조사자는 클라우드 사용자의 계정명, 패스워드를 입력하거나 특정 클라우드 서비스에 대한 복구 토큰(recovered token)을 사용하여 각 클라우드 플랫폼으로 부터의 조사 대상 정보를 선택할 수 있습니다.

Load Evidence는 이전에 AXIOM Cloud로 획득한 데이터를 추가하여 분석하게 해 줍니다.

Acquire Evidence 로 진행하다 보면 법적인 권한이 있는지 여부를 확인하는 창을 볼 수 있습니다.

클라우드와 관련하여 나라마다 법률과 절차가 다르기 때문 입니다.

영장번호(Warrant number)를 입력하라는 창도 볼 수 있으며, 여기에 입력한 정보는 Case information.txt에 저장되고, 보고서에도 포함됩니다.

 

What is a Token?

클라우드 데이터에 대한 접근은 사용자의 계정과 패스워드의 조합으로 가능하나, 반드시 꼭 그런 것만은 아닙니다.

모바일 디바이스와 같이 이미 사용자가 소유하고 있는 로컬 디바이스 중 하나에 key 형태로 된 정보가 저장되어 있고, 사용자의 계정과 패스워드를 몰라도 이런 정보를 이용하여 클라우드 데이터에 접근할 수 있습니다.

Token 이라는 것은 ‘Token Based Authentication’으로 알려진 절차를 의미하며, 여기서 해당 서비스는 일종의 ‘key’를 만들어 둡니다.

이것은 사용자가 동일한 세션 안에서 반복적으로 사용자 인증 절차를 거칠 필요가 없이 해당 서비스에 재인증을 획득하는 용도로 이용될 수 있습니다.

이러한 토큰은 영구적인 것은 아니며, 서비스에 따라서는 확장된 시간 동안 지속가능 합니다.

토큰을 이용하는 또 다른 장점으로는 그것이 Two-factor Authentication (2FA)를 요구하지 않을 뿐만 아니라, 누군가 사용자의 데이터에 접근할 때 최종 사용자에게 알림을 해주는 보안 체크(security checks)를 우회할 수 있다는 것 입니다.

각각의 플랫폼이나 서비스에 대한 토큰은 길이, 구조, 그리고 기능에 따라 각기 다릅니다.

어떤 토큰은 전체 인증 모델이 아니고, 서비스의 일정 부분에 대한 접근만을 제공하기도 하며, 다른 토큰은 플랫폼 안의 모든 사용자의 저장된 데이터에 대한 접근을 가능하게 하기도 합니다.

뿐만 아니라, 각 토근은 특정한 플랫폼이나 서비스에 의해 생성되며, 그것을 어떻게 어디에 저장하는지는 서로 상이합니다.

 

일반적으로 대부분의 토큰은 다음 소스에서 복구될 수 있습니다.

- Android의 accounts.db

- iOS/macOS의 keychain

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)