Memory Forensic

메모리 덤프 = 코어 덤프

메모리 덤프는 메모리의 내용 가운데 일부 또는 전체를 기억장치에 저장하는 행위

초기: 오류에 대한 디버깅의 목적

현재: 포렌식과 같은 범죄 수사행위의 증거 수집 목적

 

Why memory dump?

1. 복호화된 파일 콘텐츠, 패스워드나 프로세스 임시 저장 데이터 등 메모리에서만 찾을 수 있는 특유의 정보 존재

2. 비활성 저장장치에 코드를 복사하지 않고 직접 메모리에 로드되어 실행되는 악성 프로그램 존재

3. app 사용자 프라이버시 보호 기능이 강화되어 암호화되어 기록되거나 전용 모드에서는 아예 기록이 되지 않음

4. 안티 포렌식 기술의 확산으로 전통적인 디지털 포렌식 조사 대상인 하드에 있는 데이터의 불안감 증가

Memory Dump tools

 

이미징 도구

-crash dumps → 블루스크린에 의해 생성

-Hibernation Files → 절전모드

-Firewire → 인터페이스의 일종, 특정 인터페이스의 이미징

-Virtual Machine Imaging → vmware에 guestos의 메모리를 가져올 수 있음

-dd명령어

 

분석 도구

-AhnForensic

-Volatility

 

덤프방식에 따른 분류

Tribble - 물리 메모리의 내용을 획득하기 위해 사용되는 하드웨어 확장 카드를 이용

Firewire - usb같이 외부 storage를 빠르게 access할 수 있는 도구

Dumpit - 리눅스에서 가장 많이 사용하는 덤프 도구

           - 데이터를 읽고 블록으로 데이터를 기록, bit 단위 복사시 많이 사용

CRASH - BSOD(Blue Screen Of Death 발생시 윈도우가 자동적으로 생성

크래시가 발생한 시점에 메모리가 정지된 후 메모리 덤프

절전모드를 이용한 덤프

절전모드에 들어가면 디스크에 hiberfil.sys라는 이름으로 메모리의 내용을 저장하고 시스템의 전원을 차단하여 다음 부팅 시 원래대로 복구

메모리 덤프 도구 목록

메모리 분석 도구 목록

Window 환경의 공격 실험

 

1. 웹 페이지 계정 암호 추출

웹 브라우저 프로그램을 이용해 로그인이 이루어졌을때 웹 브라우저 프로세스 메모리 영역에 아이디와 비밀번호 추출

• 웹 로그인이 이루어진 컴퓨터에서 mdd를 이용해 메모리 덤프
• memoryze를 이용해 대상 프로세스 메모리 내의 문자열 추출 가능
• memoryze를 통해 분석된 데이터는 auditviewer를 이용해 사용자가 보기 쉽게 볼 수 있음

2. 인터넷 뱅킹 인증서 암호 추출

인터넷 뱅킹 서비스를 이용한 컴퓨터에서 인증서 암호 추출

• 인터넷 뱅킹을 이용한 컴퓨터에서 전체 메모리 덤프
• 생성된 메모리 덤프 파일을 010 에디터 프로그램을 이용해서 확인
• 입력된 문자열을 알고 있을 경우 문자열을 통한 검색
• 입력된 데이터를 알지 못한다면 user=, id=, password=, pass=, pw= 과 같은 형태의 데이터를 탐색

3. 사용자 문서 데이터 추출

사용자가 문서 작성 후 저장이 이루어졌을 경우 문서의 내용 추출

• 문서 작성 중인 컴퓨터에서는 실시간 메모리 확인이 가능한 Winhex로 입력 중인 내용과 글자의 속성 값들을 확인
• 문서 작성이 완료되어 프로세스가 중지된 상태의 컴퓨터에서는 전 체 메모리 덤프를 하거나 Winhex의 전체 메모리 확인을 통해 문서 의 내용을 확인

4. 문서 암호화/복호화 키 추출

암호화된 문서가 사용자의 컴퓨터에서 열린 경우 입력된 암호화/복호화 키는 문서 작성 프로세스의 메모리 내에 남아있음

• 문서 작성 프로그램이 열려있는 경우 Winhex를 통해 대상 프로세스에 접근하여 문서의 내용 및 암호화/복호화 키 확인
• 문서 작성 프로그램이 종료된 경우 Winhex를 이용해 전체 메모리를 확인하여 문서의 내용 및 암호화/복화화 키 확인
• 전체 메모리 덤프를 하는 경우 같은 내용이 남아 있음

5. 메신저 프로세스 데이터 추출

메신저 프로세스(네이트온)가 실행된 컴퓨터에서 사용자의 데이터 추출

• Ntsd 프로그램을 이용해서 특정 프로세스에 대한 메모리 덤프 생성
• 프로세스 메모리 덤프 파일을 010 에디터를 이용해서 분석
• 네이트온과 같은 메신저 프로그램은 서버와의 통신을 통해 친구 목록, 생년월일, 핸드폰번호, 이메일 정보가 메모리에 남아있음

소프트웨어를 이용한 리눅스 메모리 덤프

dd 명령어로 메모리 덤프가 안되면 메모리 접근 제한을 해제한다.

‘make menuconfig’ 명령을 통한 커널 설정 작업 시 → ‘kernel hacking’ 메뉴의 ‘Filter access to /dev/mem’ 항목의 마커를 제거한다.

‘.config’ 파일을 직접 수정 시 → ‘CONFIG_STRICT_DEVMEM=y’ 로 되어 있는 라인을 ‘# CONFIG_STRICT_DEVMEM is not set’ 으로 바꾼다

시그니처를 이용한 분석

/etc/fstab 파일 시그니처를 검색해 파일 시스템 파악

→ volatilitux 분석 툴을 사용해 프로세스 정보 파악

/etc/shadow 파일 덤프 후 john the ripper 같은 툴로 복호화 가능