[AXIOM] 클라우드 아티팩츠 분석기능 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM으로 클라우드 아티팩츠 분석하기 2회차 입니다. 오늘도 화이팅 하세요!!!

 

 

Apple

AXIOM Cloud Apple 플랫폼은 사용자의 Apple ID와 관련된 iCloud 서비스에 저장된 정보를 선택할 수 있도록 합니다.

Apple ID는 iOS와 macOS 디바이스에서 사용하기 위한 중앙집중화된 로그인 서비스 입니다.

이것은 다음과 같이 iOS 디바이스로부터 백업된 데이터를 포함하기도 합니다.

- Full devices backups

- Photos

- Application data

- iCloud에 저장된 e-mails

- 사용자의 iCloud Drive 서비스에 저장되어있는 파일

 

AXIOM Process는 2FA를 이용하여 Apple iCloud에 로그인 하기도 합니다.

기본적으로, AXIOM은 데이터가 언제 업로드 되었는지와는 상관없이 해당 서비스에 있는 모든 데이터를 수집합니다.

일부 서비스는 해당 계정에서 활성화된 가장 최근의 날짜를 보여주기도 하며, 해당 계정의 크기도 보여 주지만, 이것은 서비스 마다 각기 상이합니다.

 

FaceBook

FaceBook 플랫폼의 인증을 거치기 위해서는 사용자 계정의 인증 또는 과거에 획득된 토큰이 필요합니다.

FaceBook 서비스의 어떤 것도 편집가능한 옵션은 없으나 각각의 서비스는 조사 범위와 요구되는 것이 무엇인지에 따라서 활성화되거나 비활성화될 수 있습니다.

페이스북 획득은 이용가능한 웹 데이터를 ‘scraping’하는 것을 기반으로 합니다.

 

DropBox

드롭박스는 원격 스토리지 플랫폼으로 상당수의 아동 착취(child exploitation), 데이터 절취(data exfiltration) 사건에서 데이터를 숨기거나, 저장하거나, 공유하는 수단으로 흔히 이용됩니다.

Dropbox 플랫폼을 선택한 후 사용자 인증이나 이전에 획득하였던 토큰을 이용하여 해당 계정에 대한 인증 절차를 거쳐야 합니다.

 

Google

저장된 데이터의 양은 사용자가 이용한 구글 서비스의 숫자에 따라 다르기 마렵입니다.

만약 사용자가 크롬 브라우저에 들어가서 로그인하였다면 북마크와 브라우징 히스토리와 같은 브라우저에서 추출한 정보는 클라우드에 동기화될 것 입니다.

만약 사용중인 운영체제가 안드로이드 운영체제라면 디바이스에 대한 추가적인 정보와 구글에 의해 로깅된 활동기록이 남아 있을 것 입니다.

구글은 안드로이드 디바이스에 대한 토큰(token) 파일을 accounts.db 데이터베이스 파일 안에 저장합니다.

이러한 토큰은 구글이 저장한 거의 모든 정보에 접근하는데 이용될 수 있습니다.

기간 만료가 되지 않은 토큰은 클라우드에 저장된 정보에 접근하기 위한 주된 수단이 됩니다.

 

Google Account 하위 서비스에는 다음과 같은 것을 포함합니다.

- Google Activity (searches and browsing history)

- Google Timeline Locations

- Google Connected Apps

- Recent Devices

 

Cloud Artifacts

AXIOM은 약 70개의 아티팩츠에 대한 분석을 지원하고 있습니다.

 

Reviewing Cloud Data

AXIOM Process는 마치 컴퓨터나 모바일 디바이스를 조사하는 것처럼 아티팩츠를 파싱하고 카빙합니다.

AXIOM Examine이 그 결과물을 리뷰하는데 이용됩니다.

 

Cloud Accounts Information and Cloud Passwords and Tokens

AXIOM Cloud는 플랫폼이나 서비스에 대한 접근권한을 얻기 위한 모든 계정 인증절차를 위해 입력한 사용자 이름, 패스워드, 사용된 모든 토큰을 확보합니다.

Cloud Passwords and Tokens 아티팩츠 카테고리에 정보를 모읍니다.

조사자가 나중에 추가적인 데이터를 획득하기 위하여 다시 해당 계정에 대한 접근을 필요로 한다면 패스워드 인증절차를 이용할 수 있습니다.

뿐만 아니라, 사람들은 습관적으로 여러 계정 또는 파일에 동일한 패스워드를 사용할 수도 있습니다.

만약 암호화된 백업자료나 파일이 발견된다면, 이런 카테고리 안에 포함된 패스워드가 그것을 복호화하는데 도움이 되는지 확인할 필요도 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)