[AXIOM] 클라우드 아티팩츠 분석기능 (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM에서의 클라우드 분석 마지막 시간 입니다. 모두 화이팅 하세요 !!!

 

Google

Cloud Google Passwords 아티팩츠에서부터 분석을 시작합니다.

사용자가 그동안 접근해왔던 많은 다른 클라우드 계정에 관한 패스워드를 포함하고 있을 수도 있습니다.

 

 

Cloud Google Recent Devices는 구글 계정에 접근하는데 이용된 다른 디바이스의 세부적인 사항을 보여 줍니다.

이것은 숨겨놓은 디바이스를 찾는데 유용합니다.

디바이스의 위치와 동기화 서비스를 이용한 가장 최근 날짜도 확인 가능합니다.

 

Cloud Google Connected Apps 아티팩츠는 구글 계정에 접근하였던 모든 추가적인 어플리케이션에 대한 상세한 정보를 보여 줍니다.

최소 한 개의 엔트리 (Magnet Forensics UK, Inc.)는 존재할 겁니다.

만약 사용자가 안드로이드 디바이스에서 그들의 계정에 로그인한다거나 구글 맵이나 위치 기반 검색과 같은 Google location 서비스를 이용하였다면, 구글이 기록한 모든 정보는 Cloud Google Timeline Locations 카테고리에 위치할 것이다.

이러한 타임라인은 사용자가 방문하거나 경유하였던 장소를 특정하거나, 사용자가 검색했었던 위치를 특정하는데 도움을 줍니다.

플랫폼에 따라서 이러한 활동의 날짜와 시간도 분석 가능할 겁니다.

 

사용자가 어떤 특정한 지점에 있었다는 것을 보여 주기 위해 필요한 직관적인 지도(direct map)를 제공하지는 않으나, 이러한 아티팩츠를 이용하여 사용자가 어떤 특정한 시각에 또는 그 즈음에 어떤 지역 안에 있었음을 설명할 수 있습니다.

구글은 이러한 정보를 모바일 디바이스에서 구글의 웹 서비스로 전달하기 때문에 이런 위치 정보는 사용자에 의한 어떠한 외부적인 행위가 없었음에도 기록될 수 있습니다.

 

구글의 계정에 로그인 되어 있는 동안 구글 플랫폼 안의 서비스들 중 하나에 사용자가 접근하면, 엄청난 양의 데이터가 기록되고 저장됩니다.

사용자는 이와 같이 저장된 정보를 그들의 ‘My Activity’ 웹 페이지에서 열람할 수 있으며, 만약 AXIOM Cloud에 의해 확인되었다면 그것은 Cloud Goole Activity 카테고리에 모아 둡니다.

 

여기에는 다음과 같은 인터넷 브라우징 히스토리와 검색기록도 포함합니다.

- YouTube search and watch history

- Searches for locations or directions

- Google Assistance activity from Google Home devices

 

만약 해당 기기에 안드로이드 운영체제가 동작중이라면, 다운로드되고 사용된 어플리케이션 상당수의 이러한 아티팩츠는 타임스탬프를 갖고 있습니다.

그리고 그런 행위를 하였을 때 해당 디바이스가 위치하였던 장소를 상세하게 보여주는 지리정보 데이터(geolocation data)가 발견될 수도 있습니다.

 

Cloud Google Drive Files 카테고리에는 사용자의 구글 드라이브 계정에서 획득된 파일에 대한 상세한 정보를 포함합니다.

이들 파일은 \Google\Drive Files\Attachments 폴더 안에 저장됩니다.

Cloud Google Photos 카테고리에는 사용자의 구글 계정과 연동된 Google Photos 서비스에 업로드된 모든 사진을 포함합니다.

이러한 사진은 사용자의 구글 드라이브에도 저장되어 있을 수 있습니다. 이것은 사용자가 계정 설정을 어떻게 하느냐에 달려 있습니다.

상당수의 안드로이드 디바이스는 사용자와 아무런 상호 작용 없이 사진을 사용자의 Google Photos로 자동으로 전송할 것입니다.

 

가능한 상황에서는 다음과 같은 추가적인 정보가 해당 파일과 함께 업로드 될 것 입니다.

- 사진 촬영 일시

- 사진 업로드 일시

- 사진을 촬영한 디바이스의 제조사와 모델명

- 지리적 정보

- 사진이 저장된 앨범명

 

Cloud Gmail Messages 카테고리에는 Gmail 계정의 메일박스에서 획득된 모든 이메일을 포함합니다.

만약 획득 당시에 날짜/시각 필터가 적용되었다면, 해당 카테고리에는 수집당시에 메일박스에 저장되었던 모든 이메일을 포함하지 않을 수도 있습니다.

 

다른 이메일 아티팩츠와 마찬가지로, 다음과 같은 정보를 포함합니다.

- 이메일 송수신 일시

- 모든 cc, bcc 정보

- 메시지 제목

- 이메일 컨텐츠에 대한 랜더링 이미지

 

첨부파일은 Details pane의 Attachments에서 확인 가능하다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)