Transcript 사이버범죄 수사 기초
사이버범죄 수사 Cist9 이미선 발표일: 5월 2일 목차 기초조사 Whois 조회 원격컴퓨터에 대한 정보수집 모니터링 현장조사 윈도우 pc분석 서버시스템 분석 하드디스크 복제 사이버 범죄 수사기초 기초 조사 Whois 조회 / 도메인 도메인개념 숫자 형태의 ip를 문자형태로 표시한 것 기관이나 개인이 일정금액을 내고 일정기간 소유할 수 있는 무형재산 국제도메인/국내도메인 국제도메인은 2단계 구조(com, net, org, gov, edu) 국가도메인은 3단계 구조(go.kr, or.kr, pe.kr, ac.kr) 도메인 도메인과 호스트의 구별 url 주소는 일반적으로 호스트명과 도메인으 로 구성 www.chol.com www: 호스트 chol.com: 도 메인(국제) www.police.go.kr www: 호스 police.go.kr : 도메인(국가) 도메인 도메인 조회 조회사이트 조회기관 국내 도메인 http://whois.nic.or.kr 한국인터넷정보센 터 국제 도메인 http://www.internic.net/whois.html http://www.networksolutons.com/en_US/whois/index.html http://www.allwhois.com 국제인터넷정보센 터 Network Solutions All Domains.com IP IP개념 사람의 주민등록번호와 같이 컴퓨터에 부여된 4자리 주소체계 인터넷에 연결중인 컴퓨터는 유일한 ip가 부여 국내 IP/ 국외 IP 국내 IP : 국내 IP 관리기관인 KRNIC을 통해 할당. 국외 IP : APNIC(아시아), RIPE(유럽), ARIN(북미), LACNIC(남미) IP •IP 조회 조회사이트 조회기관 국내 IP http://whois.nic.or.kr 한국인터넷정보센터 국제 IP http://www.apnic.net http://www.arin.net/whois/index.html http://www.ripe.net http://www.lacnic.net 아시아 태평양 네트워크주소 관리기관 북미 네크워크주소 관리기관 유럽 네트워크 협의기관 라틴 아메리카 네크워크주소 관리기관 IP IP 조회시 유의사항 KRNIC 조회결과 해외 IP로 나오면 해외 IP조회기관에 반드시 재조회 한다. 인터넷서비스제공업체(ISP)이면 IP를 재할당 한 경우이거나 가입자에 게 부여한 유동 IP. 다음의 경우에 해당하면 실제 국내에서 사용하는 IP임에도 해외에 할 당 된 것처럼 조회될 수 있다. 개요 사례 Case 1 Isp,대학, 대규모 기관 등에서 한국인터넷정보센터 (krnic)와 관계없이 해외기관에서 직접 IP를 할당 받 을 경우 ㈜ KT ㈜DACOM 서울대학교 등 Case 2 해외에 본사가 있는 다국적기업의 국내 지사인 경우 ㈜ORACLE 등 Case 3 사설 IP주소인 경우 10.*.*.* 172.(16~31).*.* 192.168.*.* 도메인의 IP주소로의 변환 DNS 서버 도메인은 DNS 서버에 IP주소와 함께 등록함 으로써 사용가능 상당수가 등록대행업체에서 DNS서버 운영 변환방법 : nslookup [사이트주소] • Ex) 원격컴퓨터에 대한 정보수집/ Ip 추적 프로그램 visual route Download site: http://www.visualware.com/visualroute/index.html 실행화면 기능 원격컴퓨터까지의 경로를 지도에 표시하고 인터넷 연결 유무를 점검 Whois 조회 및 도메인의 ip 변환 스캔 프로그램 languard network security scanner Download site : http://www.gfi.com/downloads/downloads.asp?pid=8&lid=1 실행화면 기능 원격컴퓨터 운영체제 및 이름 등 기본정보 서비스 포트와 서비스명 원격컴퓨터 MAC 주소 확인 MAC 주소 제조사에서 랜카드에 부여한 고유번호 Ip는 변경 가능하지만 MAC주소는 항상 고정 MAC 주소는 차대번호, IP주소는 차량번호와 같은 개념 6byte 주소체계(16진수로 표현) • Ex)00-10-B5-C4-35-2D 로컬컴퓨터의 MAC주소는 “ipconfig /all” 명령으로 확인 사용방법 : nbtstat –A IP주소 주의 사항 MAC 주소는 원격시스템이 windows일 경우에만 성공적으로 실 행 방화벽 환견등에 의해 정상적으로 실행되지 않을 수 있음 원격컴퓨터 MAC 주소 확인 Ipconfig /all :로컬 컴퓨터 mac주소 확인 Nbtstat –A IP주소 : 원격 컴퓨터 mac주소 확인 원격컴퓨터 MAC 주소 확인 랜카드 제조사 확인 MAC주소를 확보하면 다음 사이트에서 제조사를 조회할 수 있다 http://standards.ieee.org/regauth/oui/oui.txt 모니터링 모니터링 개념 특정 대상시스템의 상태를 실시간 확인하는 절차 범죄와 관련된 기록(증거)을 남기거나 용의자를 추적하기 위함 모니터링 종류 자체 모니터링 • 대상시스템 자체에서 모니터링 행위가 진행되는 형태 • 일반적으로 권한이 있는 네트워크/시스템/응용프로그램 관리자에 의해 수행 • 수사기관에서 포털사이트 등의 협조하에 회원 id 접속유무를 체크하는 형태 원격 모니터링 • 수사관 컴퓨터로 대상 시스템을 모니터링 하는 형태 • 수사관이 브라우저를 실행하여 실시간 게시판 상황을 점검하는 경우 • 원격 관리 프로그래미이나 기타 접속프로그램을 이용하여 모니터링을 수행하는 형태 모니터링 방법 실시간 네트워크 상태보기 사용용도 Windows Unix Linux 사용방법 비고 네트워크 상태보기 netstat netstat C:\>netstat –an C:\>netstat –anP tcp C:\>netstat –anP udp C:\>netstat –an 3 #>netstat –antu #>netstat –anP tcp –f inet 전체보기 Tcp 만 보기 Udp만 보기 3초마다 반복 (linux) (unix) 모니터링 방법 실시간 네트워크 상태보기 모니터링 방법 실시간 CPU/MEM 상태확인 사용용도 Windows Unix/ Linux 사용방법 비고 Cpu 현환보기 taskmgr top C:\>taskmgr #>top GUI툴 메모리 보기 taskmgr free C:\>taskmgr #>free GUI툴 실시간 CPU/MEM 상태확인 모니터링 방법 실시간 파일크기 확인: windows는 batch파일, linux/unix는 스크립트로 작성하여 실행 파일크기 확인방법 Windows -> bat 파 일작성 Linux/unix -> sh 파 일 작성 Windows(loop. bat) Unix/Linux(loop.sh) ECHO OFF :START DIR SLEEP 3 CLS GOTO START while true do ls –al sleep 3 clear done 모니터링 방법 실시간 파일 추가내용 확인 사용용도 Windows Unix Linux 사용방법 비고 파일추가 내용확인 tail –f C:\>tail –f 파 일명 #>tail –f 파일 명 Windows에서 tail은 기본명령 이 아니므로 인 터넷 다운로드 후 실행 tail –f 모니터링 방법 실시간 패킷 확인(winpcap + ethereal) 설치방법 Wincap: 패킷을 캡쳐하기 위한 드라이버 프로그램 http://wincap.polito.it/install/bin/WinPcap_3_0.ext Ethereal: 패킷을 캡쳐하는 프로그램 http://www.snort.org/dl/binaries/win32/ 모니터링 방법 게시판 모니터링 http://cist.korea.ac.kr/new/Bulletin/index.html loop.html 작성 모니터링 실시 정상적으로 실행되면 10초에 한번씩 반복하여 게시판 내요을 읽어와 보여준다. 사이버 범죄 수사기초 현장 조사 윈도우 pc분석/ 인터넷 접속 기록 수집 및 분석 인터넷 히스토리와 인터넷 임시파일 인터넷 히스토리: 인터넷 익스플로러를 사용해 접속 했던 웹사이트의 url 목록 인터넷 임시파일: 인터넷 익스플로러를 사용해 접속 했던 웹사이트의 내용으로 일정 시간이 경과하면 삭 제도도록 되어 있으며 “temporary internet files” 디 렉토리에 저장됨 인터넷 접속 기록 수집 및 분석 인터넷 히스토리 출력 컴퓨터 사용자가 최근에 접속한 인터넷 사이트의 목록 및 접속 시간 등 확인 가능 IEHistory 프로그램을 이용해 히스토리 출력하기 • Down load site: http://www.softwarepatch.com/software/indexdat.html 인터넷 접속 기록 수집 및 분석 pasco 프로그램을 이용해 히스토리 파일 출력하기 인터넷 접속 기록 수집 및 분석 인터넷 임시파일 열람 유의사항 • 인터넷 임시파일은 컴퓨터 사용자가 인터넷 익스플로러를 사용해 접속했던 웹사이트의 내용을 임시로 컴퓨터에 저장 시켜 놓은 것으로 용의자가 사용한 PC를 수사하는 경우에는 중요한 수사단서가 되므로 취급에 신중해야 함. • 인터넷 임시파일이 저장된 “temporary internet files” 디렉 토리는 시스템 디렉토리로서 탐색기에서 보여지는 내용과 실제 저장된 파일의 내용이 다르며, 탐색기에서 “temporary internet files”의 파일내용을 클릭하여 열람하게 되면 인터 넷 익스플로러가 자동으로 해당 웹사이트에 연결을 시도하 며 연결에 실패한 경우에는 임시파일의 니용을 덮어 써버리 게 되어 원래 저장된 임시파일의 내용 확인이 불가능 함. 인터넷 접속 기록 수집 및 분석 => 안전하게 인터넷 임시파일 열람하기 먼저 탐색기를 이용해 시스템의 “temporary internet files” 디 렉토리를 열람하여 임시파일이 저장되어 있는지 확인 임시파일이 저장되어 있다면 열람을 원하는 임시파일에 마우스 를 옮기고 마우스의 오른쪽 버튼을 눌러 팝업메뉴를 호출 팝업메뉴에서 [복사]를 선택->플로피디스크 등 다른 임시저장 위치로 이동 -> 붙여넣기로 복사 인터넷 익스플로러에 의해 임시파일이 변경되는 것을 방지하기 위해 먼저 메뉴에서 [도구]-> [인터넷옵션] -> [인터넷 임시 파일 설정]-> [확인하지 않음]을 선택하여 인터넷 익스플로러 의 동작 방식을 변경 인터넷 익스플로러에서 [파일]->[열기]->[찾아보기]를 선택, 임시저장 위치에 복사한 임시파일을 오픈 인터넷 접속 기록 수집 및 분석 쿠키정보 확인 쿠키파일의 의미 • 인터넷 익스플로러를 이용해 웹사이트를 방문하는 경우, 웹사이트 의 특성에 따라서 사용자의 ID와 같은 정보가 사용자의 컴퓨터에 저장됨. • 쿠키파일의 분석을 통해 특정사이트에 접속한 사용자의 id 또는 패 스워드에 관한 정보를 얻을 수 있음. 쿠키파일 저장 위치 • 쿠키파일은 일반적으로 “사용자계정명@웹사이트명” 같은 파일이 름으로 저장됨 운영체제 저장위치 Windows 2000/xp C:\document and settings\<username>\cookies Windows 98/me C:\windows/cookies 인터넷 접속 기록 수집 및 분석 쿠키파일 형식 쿠키파일내에는 일반적으로 하나의 쿠키값이 저장되나 경우에 따라서는 여러 개의 쿠키가 저장될 수 있으며 각 쿠키값은 구분자 “*”로 구분됨. 쿠키값은 평문형태로 저장되어 있어 문서편 집기를 이용해 열람이 가능하지만, 쿠키의 생 성값과 만료값은 일정한 변환과정을 거쳐야 함. 인터넷 접속 기록 수집 및 분석 파일명: a@empas[2] 변수명 변수값 쿠키 생성 사이트 옵션 만료일자 생성일자 구분자 인터넷 접속 기록 수집 및 분석 쿠키값 추출하기(쿠키값에서 만료일자와 생성일자를 추출) 레지스트리 정보수집 레지스트리 정보수집 레지스트리에는 윈도우의 시스템 및 응용프로그램 실행에 관련 된 내용이 저장됨. 레지스트리 저장 파일 운영체제 파일명 Windows 98 User.dat, system.dat, policy.dat Windows me User.dat, system.dat, class.dat Windows 2000 Software SAM System Security NTUSER.DAT UsrClass.dat 비고 HKLM\SOFTWARE HKLM\SECURITY\SAM HKLM\SYSTEM HKLM\SECURITY HKU\SID HKEY_CLASSES_ROOT 레지스트리 정보수집 레지스트리 수집 레지스트리 편집기 실행:[시작]->[실행]->[regedit] 순으로 실행 [레지스트리]->[레지스트리 파일 내보내기]->[파 일명 입력]순으로 선택 레지스트리 조회: 전체 레지스트리 내용을 수집 하지 않고 특정 레지스트리 키값만을 조회 [시작]->[실행]->[regedit]순으로 실행 “req query 레지스트리 키” 명령을 실행 레지스트리 정보수집 레지스트리 조회 레지스트리 정보수집 주요 레지스트리 점검항목: 레지스트리 편집기를 이용해 아래 레지 스트리 키를 찾아서 해당 값을 확인 시작 프로그램 SOFTWARE\Microsoft\CurrentVersion 이하의 Run: 윈도우가 시작될 때마다 실행 RunOnce: 윈도우가 시작될 때마다 단 한번 실행되고 성공하면 삭제 RunOnceEx: RunOnce와 동일 RunService: 윈도우가 시작되는 동안 네크워크 및 시스템 서비 스 실행 RunServiceOnce: RunService와 동일하나 단 한번만 실행됨 레지스트리 정보수집 실행창에서 최근에 실행시킨 프로그램 [windows 98] • .Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Windows 2000] • HKEY_USER\<sid>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explor er\RunMRU 최근 열람 문서 • [windows 98] • .Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU • [Windows 2000] • HKEY_USER\<sid>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Rec entDocs 즐겨찾기 목록 • [Windows 2000] • HKEY_USER\<sid>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Men uOrder\Favorite 최근 ftp 연결 목록 [windows 98] • .Default\SOFTWARE\Microsoft\Ftp 최근 telnet 연결 목록 [windows 98] • .Default\SOFTWARE\Microsoft\Telnet 휴지통(recycle bin) 복구하기 휴지통 파일은 바탕화면 휴지통 아이콘 선택 외에 휴지통 설정파일 자체를 복사해 그 내용을 확인 할 수 있음 휴지통 파일 보기 휴지통 디렉토리는 숨김형식으로 되어있음 • “dir /a” 지워진 파일- INFO2 파일 내에 저장 휴지통 파일의 위치 운영체제 파일시스템유 형 저장위치 Windows 95/98/me FAT32 C:\Recycled\INFO2 Windows NT/2k/XP NTFS C:\Recycler\<user sid>\INFO2 휴지통(recycle bin) 복구하기 rifiuti 프로그램으로 info2파일에서 삭제된 파일정보 추출 Download site: http://sourceforge.net/project/showfiles.php?group_id=78332 휘발성데이터 수집 기본정보 시스템 시간정보의 확인 • 시스템의 시간정보 : 현재 시스템에서 사용되고 있는 시간 설정값 • [시작]->[실행]->[a:\cmd.exe]를 선택하여 명령 프롬프 트 실행 • Date, time 명령 실행 • 표준시간과의 오차 확인 휘발성데이터 수집 시스템 기초정보 확인 시스템 기초정보: 하드웨어, 운영체제, 설치일자 등 확인 pstools을 사용 하여 psinfo 명령 실행 • 다운로드 사이트: http://www.sysinternals.com/ntw2k/freeware/pstools.sht ml 휘발성데이터 수집 시스템 운영시간 부팅된 이후 현재까지 경과된 시간 현재 로그인 계정 확인 시스템에 로그인 되어 있는 사용자의 계정명 확인 휘발성데이터 수집 시스템 서비스 확인 현재 시스템에서 동작중인 서비스 확인 C:\Pstools>psservice 휘발성데이터 수집 프로세스 정보 확인 시스템에서 동작중인 프로세스에 대한 정보 확인 휘발성데이터 수집 공유 폴더 확인 외부에서 접속할 수 있는 공유폴더 정보 확인 최근 연결된 ARP 목록 확인 최근 시스템에 연결된 ip와 mac주소 확인 휘발성데이터 수집 열려진 포트번호 확인 fport 를 이용한 현재 시스템에 개방된 포트 번호 확인 다운로드 사이트: http://packetstormsecurity.org/Win2k/fport.zip 서버시스템 분석(로그수집)- 윈도우 서버 이벤트 로그 윈도우에서 사용자가 로그인하거나, 로그아웃하는 상황, 새로 운 서비스가 실행되는 내용 등 시스템에서 발생하는 각종 정보 를 저장 시스템이벤트: C:\winnt\systme32\config\SysEvent.Evt 보안이벤트: C:\winnt\system32\config\SecEvent.Evt 응용프로그램 이벤트: C:\winnt\system32\config\AppEvent.Evt 이벤트 로그 수집 psloglist 명령 수행 윈도우 서버 응요프로그램 로그 수집 대상 • IIS, SMTP, FTP 서버 프로그램의 로그를 수집 응용프로그램 로그 저장 위치 IIS C:\winnt\system32\Logfiles\W3SVC1 SMTP C:\winnt\system32\Logfiles\SMTPSVC1 FTP C:\winnt\sywtem32\Logfiles\MSFTPSVC1 IIS, SMTP, FTP 서버의 로그파일은 일반적인 텍스트 형 태로 저장되므로 별도의 프로그램 없이 텍스트편집기로 열람 가능 탐색기 이용 복사가능 서버시스템 분석(로그수집)- 유닉스/리눅스 시스템 기본 정보 확인 시스템 시간정보 확인 커널 정보 및 설치날짜 확인 로그인 사용자 확인 유닉스/리눅스 시스템 파일시스템 정보확인 하드디스크 파티션 정보 확인 하드디스크 마운트 정보 확인 용량 확인하기 유닉스/리눅스 시스템 프로세스 정보 확인 사용자계정, 프로세스 ID, cpu 사용률, 메모리 크기, 터미널, 프 로세스 상태, 시작시간, 명령행 정보가 출력 됨. 유닉스/리눅스 시스템 프로세스의 계층구조를 살펴보기 위해 pstree 명령 실행 유닉스/리눅스 시스템 네크워크 정보 확인 => IP주소와 MAC 주소 확인 유닉스/리눅스 시스템 => 현재 네트워크 연결상태 확인 유닉스/리눅스 시스템 => 현재 사용중인 파일/소켓 정보 확인 유닉스/리눅스 시스템 로그수집 로그파일 저장 디렉토리 /var/log Linux, BSD /var/adm Solaris, AIX /var/adm HP-UX 유닉스/리눅스 시스템 기본 로그 파일 Lastlog 각 사용자의 가장 최근 로그인 시간 기록 Loginlog 실패한 로그인 시도를 기록 Messages 커널 메시지 및 syslog에 의한 응용프로그램 로그를 기록 Secure 사용자 인증 등 시스템보안과 관련된 로그를 기록 Sulog Su 명령 사용 내역 기록 Utmp 현재 로그인한 각 사용자 기록 Wtmp 사용자 로그인, 로그아웃 시간 및 시스템 시 작 및 종료시간을 기록 xferlog FTP 서비스 이용내역 기록 유닉스/리눅스 시스템 Last log 열람 시스템 계정으로 로그인한 상태에서 lastlog 명령 실행 계정명, 사용된 터미널, 접속위치(IP주소), 마지막으로 접속한 시간 등의 정보가 출력됨 유닉스/리눅스 시스템 messages 로그 열람 텍스트편집기(vi), cat, more 명령실행 좌측부터 시간, 시스템 이름, 커널 또는 응용프로그램 이름, 메시지 등이 출력됨 유닉스/리눅스 시스템 utmp/wtmp 로그 열람 시스템 계정으로 로그인한 상태에서 last 명령 실행 사용자계정, 사용된 터미널, 접속주소, 접속시간등이 출력됨 유닉스/리눅스 시스템 xferlog 로그 열람 xferlog의 각 필드의 의미 필드명 의미 현재시간 전송이 시작된 시간 전송시간 전송에 걸린 시간(초) 원격호스트 전송을 요청한 원격지 컴퓨터 파일크기 전송된 파일의 크기(바이트) 파일명 전송된 파일 이름 전송모드 전송모드(a:아스키모드, b:바이너리 모드) 플래그 전송파일의 특성을 나타내주는 플래그 (C:압축된 파일, U:압축되지않는파일, T:tar파일, _:기타) 접근모드 A:anonymous접속, g:guest그룹접속, r:일반사용자접속 유닉스/리눅스 시스템 xferlog의 각 필드의 의미 필드명 의미 사용자명 접속자 이름 서비스이름 서비스 이름으로 FTP로 고정되어 있음 인증방법 사용자 인증에 사용된 방법(0:없음, 1:RFC931) 인증 ID 인증에 성공한 사용자 계정(사용불가 사용자의 경우 *표시) 전송결과 C: 전송이 완료됨, i:불완전한 전송 하드 디스크 복제 복사용 하드 디스크 및 복제 장비 준비 복사용 하드디스크는 반드시원본 하드디스크 보다 저장요양이 커야 함. 수사대상 컴퓨터의 전원을 차단하고 원본 하드디스크를 컴퓨터에서 분리 복제장비의 전원이 커진 상태에서 원본 하드디스크와 복사용 하드디스크를 각 각 복제장비에 연결하고 전원단자를 연결(이때, 복제되는 방향에 주의하여 연 결) 복제 방식 선택 복제방식에는 전체 이미지 복제방식과 컨덴츠 복제방식으로 구분 전체이미지 복제방식은 원본하드디스크의 디렉토리, 파일등 할당된 영역 뿐만 아니라 할당되지 않은 영역까지도 모두 복제, 따라서 원본하드디스크의 내용을 100% 동일하게 복제 할 수 있으나 복제시간이 많이 소요됨 컨텐츠 복제방식은 원본 하드디스크의 디렉토리, 파일등 할당된 영역만을 복제, 따라서 원본 하드디스크의 내용중 할당되지 않은 영역은 복제에서 제외되므로 100%동일하게 복제 할 수 없으나 복제시간이 단축됨 하드 디스크 복제 Hash값의 사용 해쉬 함수 • 서로다른 입력값으로부터 동일한 출력값이 나올 가능성이 불가능 에 가까워 입력값에 대한 무결성 보장 기능 => 입력값이 바뀌면 출 력값이 바뀌게 되므로 출력값이 동일하다면 입력값, 즉 원본값이 바뀌지 않았다는 것을 입증하는 수단으로 사용됨