#1 - Contest Poster

사용 프로그램 : Magnet Axiom Examine

#2 - Magnet Axiom

[ Internet Analyze ]

#3 - Web

웹 관련된 증거가 총 25,959개가 발견이 되었다. 먼저 Edge 브라우저를 사용한 증거에 대해서 분석을 시작한다.

[ Edge / Internet Explorer 10-11]

먼저 다운로드된 기록을 확인한다.

#4 - Edge Download History

다운로드 기록을 보게 되면 총 5개의 다운로드 흔적을 발견할 수 있는데, 시스템에 악영향을 미칠 수 있는 파일들을 다운로드한 것으로 볼 수 있다.

Index Access Time URL Redirect URL Download Path
1 2017-07-12 AM 9:34:32 https://www.dropbox.com/home?preview=toolkit1.zip https://dl.dropboxusercontent.com/content_link/ftAeKwxOaQ3tyOsLhqlF57Xj3ePzTia5AtELOTzE1ccEWkUw5hCWYAnCugawvUif/file?dl=1 C:\User\ASPDEBUG\Downloads\toolkit1.zip
2 2017-07-15 PM 8:44:42 https://portal.ictp.it/icts/download/pscp.exe/view https://portal.ictp.it/icts/download/pscp.exe C:\User\ASPLOGGER\Downloads\pscp.exe
3 2017-07-12 AM 9:47:55 https://github.com/gentilkiwi/mimikatz https://codeload.github.com/gentilkiwi/mimikatz/zip/master C:\User\ASPSRV\Downloads\mimikatz-master.zip
4 2017-07-12 AM 9:45:37 https://www.dropbox.com/home?preview=brutus-aet2.zip https://dl.dropboxusercontent.com/content_link/YE4qUSMjjz1XrZDnAaO8G1WGNaB0o2MUMD3msuAHfBYcNH6jSL26TRlErMicudp9/file?dl=1 C:\User\ASPSRV\Downloads\brutus-aet2.zip
5 2017-07-12 AM 9:50:34 https://github.com/gentilkiwi/mimikatz/releases https://github-production-release-asset-2e65be.s3.amazonaws.com/18496166/345a8b88-5457-11e7-8bb9-aff8408d3225?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20170715%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20170715T105034Z&X-Amz-Expires=300&X-Amz-Signature=ff9e7d3e2f22e438d353625d9abb1350c946cd9901ee3114dc91968855e82f89&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3Dmimikatz_trunk.zip&response-content-type=application%2Foctet-stream C:\User\ASPSRV\Downloads\mimikatz_trunk.zip

#5 - Manage Tag

태그에 각각의 계정을 설정해 주고, 항목에 맞게 태그를 지정해 준다.

1번과 4번의 항목의 URL주소가 www.dropbox.com/home?preview= 인것으로 보아, 공유된 링크가 아닌, 개인 Dropbox에 저장되어 있는 파일을 다운로드한 것으로 추정할 수 있다.

1번의 toolkit1.zip는 추후 분석할 예정이고, 2번의 pscp.exe 파일은 서버로 파일을 전송할 때 사용한 것으로 추정할 수 있다.

3번의 mimikatz는 계정의 비밀번호를 알아 낼때 사용하는 프로그램으로 윈도우에서는 시스템에 악영향을 주는 프로그램으로 판단하여, 바이러스로 취급하고 있다.

4번의 brutes-aet2.zip 은 압축파일의 비밀번호를 해제하는 도구로 추정할 수 있다.

5번 항목은 3번과 동일하다.

예전에 분석할 때 몰랐지만, 추후에 분석하다 보니 메모리 파일도 주어진 것으로 확인된다.

#6 - mem.dmp (Memory Evidence)

이 메모리 파일은 추후 분석할 예정이다.

#7 - Keyword : file:///

일일/주간 기록에서 사용자가 사용했던 file들을 확인할 수 있는데, 키워드에 file:///를 넣어, 더욱 자세하게 분석한다.

#8 - news1.docx

alonglog 계정에서 문서 폴더 안 news1.docx를 사용한 것을 확인할 수 있다.

UTC+9:00 시간으로 2017-07-15 18:50:28에 사용하였고, 이 증거를 alonglog태그와 Evidence 태그를 달아주고 추후 분석 때 용이하게 한다.

#9 - History

거래번호. txt와 거래정보. txt가 alonglog의 바탕화면에 존재하는 것으로 확인된다. 이 정보는 시나리오에 부합하는 정보로서, Evidence 태그를 달아준다.

여기서 의문점이 생기는 것은, ASPHELPER계정이 alonglog의 바탕화면에 접근을 했다는 것이다.

#10 - toolkit1.zip

ASPDEBUG 계정에서 toolkit1.zip 파일을 사용한 것을 확인할 수 있다.

#11 - scp.bat.txt

scp.bat을 사용하기 위해서 메모장으로 구문을 작성하고, 다운로드 볼더에 저장해둔 것으로 확인된다.

#12- ASPSRV - Picture

ASPSRV 계정에서 캡처 도구를 사용해서 사진을 저장된 것으로 추정이 된다.

#13 - ASPHELPER

ASPHELPER 계정을 이용해서 USB( 이동식 저장 장치 )의 파일을 열어본 것으로 추정된다.

File Name User Time
1. 개발 계획/1. 2016/제18기 민주평화통일자문회의 슬로건 공모 계획(안).hwp
ASPHELPER		 ASPHELPER 2017-07-12 09:14:56
  2017-07-12 09:14:56
1. 개발 계획/3. 진행 중/11_2_울산광역시 공고 제2017 - 788호(종건 건설부)_도시계획시설(도로_중로1-168호선)사업 실시계획인가를 위한 열람 공고_토지조서 및 지장물조서.xls ASPHELPER 2017-07-12 09:17:23

#14 - ASPHELPER

File Name User Date
2. 관련 문서/4. 계약 관련/2017년 수의계약정보(1월~6월_공사).xlsx ASPHELPER 2017-07-12 09:17:17
2. 관련 문서/4. 계약 관련/사업계획승인(APT)_현황.xls 2017-07-12 09:25:28
2. 관련 문서/4. 계약 관련/설계예산서.xls 2017-07-12 09:25:22
2. 관련 문서/4. 계약 관련/양양국유림관리소 2분기 수의계약 내역(용역).xls.xls 2017-07-12 09:17:00
3. 보도 자료/보도자료 (브리프) 부동산 개발환경변화에 따른 공공사업시행자의 역할 재정립방안.hwp 2017-07-12 09:16:39
3. 보도 자료/보도자료(금곡1_지적재조사_사업지구_측량대행자_선정).hwp 2017-07-12 09:16:27
5. 사진/(최종보고서)도시개발계획.zip 2017-07-15 20:15:44
5. 사진/(홍보문)지방세_탈루_은닉재산_시민_제보.jpg 2017-07-12 09:25:57
5. 사진/[사진1]MOU체결사진.JPG 2017-07-12 09:25:43
  2017-07-12 09:25:55
5. 사진/굿모닝브레인_2기.jpg 2017-07-12 09:25:48

#15 - 악녀.AVI
#16 - 한끼 줍쇼.AVI

alonglog 계정에서 USB를 통해 "악녀", '한끼 줍쇼" 라는 동영상을 시청했다고 확인할 수 있다.

File Name User Date
G:/동영상/영화/악녀.AVI alonglog 2017-07-12 11:47:34
G:/동영상/예능/한끼 줍쇼.AVI   2017-07-06 PM 2:45:26

질문이나 오탈자는 댓글을 통해서 남겨주세요 :) 감사합니다.

저작자표시 비영리

'Forensics > Magnet AXIOM' 카테고리의 다른 글

MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트  (0) 2020.10.21
MAGNET Axiom - User Guide (Korean) #13 클라우드 소스 이미징  (0) 2020.10.05
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보  (0) 2020.09.27
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징  (0) 2020.09.27
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독  (0) 2020.05.09

티스토리툴바