[N0Named-Forensic#19] [B] 유출된 자료 거래 사건[1] - 300 points

N0Named wargame의 Forensic 19번째 문제다. 이후 연결되는 문제가 있다. 

회사의 내부 자료 유출에 사용된 USB 대용량 장치를 찾는 문제다. 링크를 통해 파일을 다운로드하면 nonamed.7z 압축 파일이 있고, 이 파일의 압축을 풀면 nonamed.vmdk 가상 머신 디스크 파일이 있다. 이를 FTK Imager로 분석했다. 

 

Windows에서 USB 사용 이력을 분석하는 방법에는 여러 가지 방법이 있다. (이 사이트에서 참고를 했다.)

첫 번째로, 이벤트 로그를 분석하는 방법이다. 여러가지 이름으로 로그가 존재할 수 있지만, "C:\Windows\Systme32\winevt\Logs\Microsoft-Windows\DriveFrameworks-UserMode%4Operational.evtx"의 이벤트 로그를 분석하려고 했다.

하지만 위의 사진처럼 정보가 부족하다는 오류와 함께 확인할 수 없었다.

 

두 번째로, 운영체제 로그 파일을 분석해 USB 연결 사실과 최초 연결 시각을 확인할 수 있다. 

• C:\Windows\INF\setupapi.dev.log
• C:\Windows\INF\setupapi.dev.yyyymmdd_hhmmss.log
• C:\Windows\INF\setupapi.upgrade.log
• C:\Windows\setupapi.log

위의 네 가지 경로를 통해 확인했는데, 아래와 같은 오류창이 뜨거나 USB의 제조회사, 볼륨 레이블 이름을 정확하게 알 수 없어 이 방법도 문제를 풀어나가는 데는 도움이 되지 않았다. 

세 번째로, 레지스트리를 이용해 확인할 수 있다. 윈도우 운영체제의 경우, USB를 연결하면 레지스트리에 기록이 남는다. 레지스트리는 "하이브"라고 불리는 파일의 세트에 들어 있다. (일부 레지스트리의 항목은 시스템이 시작될 때마다 자동으로 구성되어 파일에 저장되지 않는다.) 하이브는 바이너리 파일이므로 레지스트리 편집기 등의 에디터를 통해 살펴볼 수 있다. 레지스트리에 관련된 내용은 이 사이트를 참고했다.

 

윈도우에서 USB 연결 시 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note"에 기록이 남고, SOFTWARE 트리에선 연관되어 있는 하이브 파일은 SOFTWARE(원본)과 SOFTWARE.LOG(백업) 파일이다. 해당 하이브 파일은 "C:\Windows\System32\config" directory에 있다.

해당 파일을 추출하고, REGA editor를 통해 살펴보자. REGA는 윈도우 시스템의 레지스트리를 수집하고 분석할 수 있는 툴이다. 해당 툴은 아래의 사이트에서 다운로드할 수 있다.

Downloads link: forensic.korea.ac.kr/tools.html

DFRC - Digital Forensic Research Center

"HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 경로를 통해 들어가면 아래와 같이 USB Device 두 개가 연결된 것을 확인할 수 있다.

각 장치의 정보를 FriendlyName을 클릭해서 관련 장치의 정보를 상세히 볼 수 있다. 드라이브 설치 로그 파일과 레지스트리를 확인하면 USB 정보를 확인할 수 있는데, 그중 확인할 수 있는 흔적 중 하나가 Device Class Identifier다.

 

장치 클래스 ID(Device Class Identifier)는 펌웨어로부터 얻은 장치의 형식, 제조사명, 상품명, 버전을 가지고 만드는 ID로 보통은 "Disk&Ven_{Vendor Name}&Prod_{Product Name}&Rev_{Version}"의 형태를 띈다.

 

USB 흔적을 추적하는 과정에서 볼륨 레이블(Volume Lable) 역시 확인할 수 있다. 볼륨 레이블도 레지스트리에서 확인 가능하고, 아래와 같은 경로에서 확인할 수 있다.

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\{Sub Keys}
• HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{device entry}\FriendlyName
• HKLM\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache\{drive letter}
• HKLM\System\{CurrentControlSet}\Enum\WpdBusEnumRoot\UMB\{device entry}\FriendlyName

위의 정보들을 토대로 각 장치의 제조사명, 볼륨 레이블을 확인해보자. 

첫 번째 USB 장치 정보

장치 클래스 ID에서 첫 번째 장치의 제조사명은 "SAMSUNG"임을 알 수 있다. 또한, FriendlyName의 값이 이 장치의 볼륨 레이블이므로 이 역시 확인이 가능하다. 

두 번째 USB 장치 정보

마찬가지로 장치 클래스 ID에서 두 번째 장치의 제조사명은 "SANDISK"임을 알 수 있다. 또한, FriendlyName의 값으로 해당 장치의 볼륨 레이블을 확인할 수 있다.

 

이 두 장치에서 확인한 정보를 토대로 플래그를 조합해 인증하면 문제가 풀린다.