[00] 안티포렌식 (Anti-Forensic)

안티 포렌식이란 디지털 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 훼손하거나 차단하는 일련의 행위를 말한다.

최근에는, 안티포렌식을 자동화해주는 안티포렌식 전문 도구들도 등장하고 있다.

 

 

▷안티 포렌식의 목적

  탐지를 회피하거나 정보 수집을 방해한다.

  수사관의 분석 시간을 증가시킨다.

  안티 포렌식 툴이 돌아가는 동안 증거를 남기지 않는다.

  디지털포렌식 도구가 동작하지 못하도록 하거나 오류를 발생시킨다.

  범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제한다.

  법정 보고서나 증언으로서 가치가 없도록 증거를 훼손시킨다.

 

 

▷안티포렌식 기법

  데이터 파괴, 데이터 암호화, 데이터 은닉, 데이터 조작, 풋프린트 최소화, 분석 시간 증가

 

1. 데이터 파괴

  데이터 삭제, SW 기반 데이터 완전 삭제, HW 기반 데이터 완전 삭제, 사용 흔적 자동 삭제 도구

  가볍게 Delete 키를 사용해 데이터를 삭제하면 데이터의 참조 정보만 삭제하기 때문에 실제 데이터가 덮어써지지 않았다면 복구할 수 있다.

  HW 완전 삭제는 저장매체의 재사용이 목적이 아닌 폐기가 목적이다.

  주로 사용하는 방법은 디가우저(Degausser)로, 강력한 자기장을 통해 자기장 방식의 저장매체 데이터를 지운다.

 

2. 데이터 암호화 (Encryption)

  데이터를 외부 유출로부터 보호하기 위한 기법으로 중요 데이터를 보호하는데 사용

  암호화 방법으로는 운영체제 자체에서 지원하는 암호화 기능을 사용하거나, 별도의 암호화 자동 조구 사용

  암호화 기능을 무력화시키는 방법으로는 리버싱을 통해 암/복호화 기능의 취약성을 이용하거나, 사전 공격(Dictionary Attack), 무차별 대입법(Brute-Force Attack), TMTO(Time-Memory Trade-Off) 기법 등을 이용

 

3. 데이터 은닉 (Hiding)

  데이터를 쉽게 탐지할 수 없도록 숨기는 기법

  대표적인 기법으로는 Steganography가 있음

  또 다른 기법으로는 파일 시스템 구조에서 낭비되는 영역에 데이터를 숨기는 것.

  루트킷(Rootkit) 기법도 구조적인 변경이나 취약점을 통해 데이터를 은닉한다.

 

4. 데이터 조작 (Manipulation)

  흔적을 삭제하거나 은닉하여 자신의 행위를 감출 수 있지만, 조작을 통해서도 감출 수 있다.

  가장 널리 사용되는 조적 기법은 파일시스템의 시간 정보를 조작하는 것

  자신의 존재를 들키지 않고 시스템에 오래 남아있어야 하는 악성코드는 보통 시간 정보를 조작해 정상 파일처럼 위조한다.

 

5. 풋프린트 최소화 (Minimizing the Footprint)

  시스템에 흔적을 거의 남기지 않는 방법

 

6. 분석 시간 증가 (Reducing analyzability)
  코드 난독화(Code Obfuscation), 실행 압축(Packing), 래핑(Wrapping)이 있다.

 

 

[출처]

http://forensic-proof.com/archives/4689