컨텐츠 바로가기

USB를 통한 자료 유출의 흔적,

http://ykei.egloos.com/4761463

Pinpoint Lab의 블로그는 내 RSS 구독 목록 중 비교적 최근에 등록되었다. 해당 그룹 내에서
가장 최근인것 같다.신입생이지만 이 블로그의 좋은 점은 한가지 개념에 대해 쓸데 없이 깊게도,
혹은 너무 겉만 훑지 않고 제대로 맥을 짚어주는 짧은 글에 있다.
최근에 올라온 Secretly Copying Files To An External USB Drive란 글 역시 마찬가지이다.

복잡한 내용 싹 걷어 내고, USB 메모리 스틱이나, 외장 하드 장치 혹은 기타 장치 등을 통하여
유출된 자료에 대해 어떻게 특정 할 수 있는가에 대한 짧고 유용한 글이다.

굳이 내가 이 기초적인 내용을 다시 언급하는 것은, 의외?로 관련 Chain에 대해서 추상적으론
알고 있지만, 뭔가 Visual하게 눈에 보이고 손에 잡히는 결과물로서 정리를 해두고 싶어서이다.
(이렇게 해두면 나중에 처음 접하시는 분들은 좀 쉽게 이해 하실수 있지 않을까? 하는 순수한
마음도 물론 1 정도 있다.)

▶ 시나리오 : 우리가 흔히 말하는 USB 메모리, 즉 Thumb Stick, USB 저장매체를 꼽고,
 파일명 "완소기밀파일.xlsx"를 복사해가고, 제대로 복사 했는지 확인차 열어 봤을 때다.
 ※ 물론 네트워크 로그라던가 다른 로그들이 있음 수월하겠지만, 일단 그런 짓을 했을때 PC
 내부에서 어떠한 일이 일어나는지를 보기 위함을 목적으로 하였다.

1. 레지스트리에 남아 있는 USB 장치 사용 기록을 뒤져본다. 많은 툴이 있지만 여기선 GUI 환경의
툴을 사용하여 보았다.(별도로 setupapi.log를 뒤져보는 것도 도움이 되겠지만,비교적 레지스트리
보다 정보가 적다, 여담이지만 USB 사용 흔적 지우는건 군대에서 행정병들이 좀짱인듯 싶다-_-)

학교 졸업할때 받은 썩어가는 USB-_-로 시험을 했다. 기존 사용 기록을 지우고 새것인양 해보니
생성일시가 오늘로 찍힌다. 게다가 뽑은 날짜도 이쁘게 찍혀있다.

2. 인터넷으로 접근한 파일이 아니지만 뒤져보면, 요렇게 접근했던 흔적이 나온다.


물론 이것은 열어보지 않았다면 나오지 않는 흔적이다.하지만,단순 Access만으로도 PC는

위와 같이 반응을 한다. 위의 FileMon 화면은 단지 해당 파일을 선택하고 ctrl+c키를
눌렀을 때의 로그다. 이건 어디까지나 기본 개념이며, 이로 인해 해당 흔적(파일)등이
어디에 남아 있게 될지 생각해볼 것은 각자가 해당 Case에 따라 다르게 판단해야
할 것 같다. 예를 들면 대부분의 백신 역시 저토록 빈번하게 반응을 한다. 물론 위의
결과는 필터링을 한 결과이다. 이러한 '반응'을 기록하는지 안하는지는 각 시스템의
설정에 따라 다르기 때문에 반복적인 확인 작업을 위한 체크리스트를 외우는 것보단
이러한 현상을 이해하는게 중요하다고 생각한다.

대개 파일을 열어보지 않으면, 파일까지 특정하긴 힘들지만, 보통 USB가 꼽혀있던
전후 10분 사이의 파일들만 봐도 대략 윤곽은 나오게 된다. 파일을 열어봤다면
lnk 파일이 생성되고 삭제 되는건 물론이며, 레지스트리 군데 군데 흔적이 남게 된다.




열어봤으면, 별로 할말 없다-_-; 안열어본경우에도 소위 기밀이라는게 있는 PC에는
백신이나 개인 방화벽, 혹은 기타 모니터링 툴에 의해 기록이 되고 있을 가능성이 크다.
기본적인 흔적에 대한건 보기도 쉽고 조작도 쉽다. 결국 뒷받침해 줄 보강 흔적을
찾는것은 역시 조사관의 능력에 달린게 아닌가 싶다.

ps: 별 내용도 없는데 캡쳐를 많이 하니 괜히 길게 쓰고 싶어진다-_-;

덧글|덧글 쓰기|신고