Information Security

시스템의 로그 파일$MFT디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능[ROOT]\$MFT$LogFile파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요[ROOT]\$LogFile$UsnJrnl파일에 발생한 변경 이력을 추적특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)[ROOT]\$Extend\$UsnJrnl 첫 번째로 [root]\$LogFile 파일을 추출했다. 두 번째로 [root]\$MFT 파..

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다. 수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다. windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다. strings를 이용하여 해당 파일의 문자열 추출하였다. 문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다. 해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다. HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.

볼라틸리티3 도구를 이용하여 filescan 옵션을 통해 로그를 확인 filescan.log를 열어서 .zip 확장자를 찾음 첫 번째 주소 0xe70bd0a9f1c0 덤프파일을 추출했다. 파일을 확인해보면 gmail에서 첨부파일을 다운로드된 것을 알 수 있다. 두 번째 주소 0xe70bd3530b30 덤프파일을 추출했다. 파일이 손상되었다고 압축풀기가 되지 않는 것을 알 수 있다. HxD 프로그램을 이용하여 report3.pdf 부분을 보면 89 50 4E 47 이미지 파일 헤더 값을 확인할 수 있다. 89 50 4E 47 ~ AE 42 60 82 PNG 값을 복사하여 새로 생성하였다. 이미지 파일을 열어보면 시간,날짜, 장소까지 알 수 있다.

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..

파일 실행 흔적을 찾기 위해 C:\Windows\Prefetch\ 경로로 이동하여 Prefetch 파일 전부를 추출한다. Windows **Prefetch(프리패치)**는 프로그램 실행 속도를 향상시키기 위해 윈도우가 자동으로 생성하는 캐싱 메커니즘 및 포렌식 아티팩트입니다. Windows가 프로그램을 더 빠르게 실행하기 위해 해당 프로그램이 로딩 시 사용하는 파일·DLL 정보를 기록해 두는 기능프로그램이 실행될 때마다 .pf 파일이 생성·업데이트됨기본 저장 위치:C:\Windows\Prefetch\파일 확장자.pf파일명프로그램명-해시.pf 형태 예: NOTEPAD.EXE-12345678.pf저장 시점프로그램이 최초 실행될 때업데이트실행할 때마다 Last Run Time과 Run Count가 갱신삭제사용..

Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.

Security.evtx를 보면 4672 관리자 권한 상승 탐지 이벤트가 많은 것을 알 수 있다. Windows PowerShell.evtx PowerShell 이벤트 로그에서 Event ID 600은 PowerShell의 시작을 의미합니다. 해당 이벤트는 PowerShell이 실행될 때 기록되며, PowerShell 세션이 열릴 때마다 자동으로 생성됩니다. Event ID 600 용도: PowerShell 사용 시작 시점을 기록하여, 누가 언제 PowerShell을 사용했는지 추적하는 데 도움이 됩니다.상세 정보: 이 로그에는 시작된 PowerShell 버전 및 호스트 정보, 실행된 사용자 정보 등이 포함될 수 있습니다./Windows/System32/winvet/Logs 경로에서 Windows Pow..

System 로그의 Event ID 6005:의미: Windows 시스템의 시작을 알리는 이벤트입니다.상세 설명: 이 이벤트는 Windows 운영 체제가 부팅될 때 시스템 로그 서비스가 시작되었음을 기록합니다. 보통 시스템이 정상적으로 부팅되었는지 확인하기 위해 사용되며, “이벤트 로그 서비스가 시작되었습니다”라는 메시지와 함께 나타납니다.용도: 주로 시스템의 시작 시간과 운영 상태를 파악할 때 사용됩니다.Security 로그의 Event ID 4608:의미: Windows 시스템의 보안 로그 초기화를 알리는 이벤트입니다.상세 설명: 시스템 부팅 후 보안 설정이 초기화되는 시점을 기록합니다. 이는 보안 관련 이벤트 로깅이 시작된다는 의미로, 시스템이 부팅되거나 재시작될 때 나타납니다.용도: 보안 측면에서..