Hdssd

RAID(복수 배열 독립 디스크)이란?

Hdssd — Mon, 19 Aug 2019 00:13:08 +0900

RAID?

Redundant Array of Inexpensive/Independent Disk의 약자이며, 저장장치 여러 개를 묶어 고용량·고성능 저장 장치 한 개와 같은 효과를 얻기 위해 개발된 기법이다.

초기 업그레이드 후 폐기하기에는 아깝고, 그렇다고 단독으로 쓰기에는 성능이 부족한 (Inexpensive) 저장장치를 재활용할 목적으로 사용하였다.

저장장치 기술이 발전한 현재 Inexpensive보다는 Independent로 해석하는 추세라고 한다.

데이터를 나누는 다양한 방법을 레벨이라 하는데, 레벨에 따라 저장장치의 신뢰성을 높이거나 전체적인 성능을 향상 시키는 등의 다양한 목적을 만족시킬 수 있다.

※ RAID 존재 의의는 가용성과 성능 향상이다. 그러므로 데이터 백업의 용도로 사용되는 기술은 아니다. 예로 랜섬웨어, 바이러스 감염이 되면 RAID를 구성하는 모든 디스크가 동시에 함께 감염된다. 고로 데이터 백업의 용도로 RAID를 사용할 생각이라면 다른 방안을 고려해야할 것이다.

RAID 레벨에 대해 보기 전에 RAID를 만드는 3가지 방법에 대해 알아보자.

1. Striping

Striping

성능 향상을 위해 데이터를 1개 이상의 디스크 드라이브에 저장하여 드라이브를 병렬로 사용할 수 있는 기술이다. 즉, 물리적으로 여러 개의 디스크에 나뉘어 저장된 것을 논리적으로 연속된 데이터로 만들어 Reading과 Writing 속도를 올려주는 것이다.

2. Mirroring

Mirroing

중복된 데이터를 2개의 디스크에 저장하여 복사본을 만드는 기술이다.

미러링의 장점은 하나의 디스크가 고장이 생겨도 다른 하나의 디스크가 손상되지 않았을 경우 데이터의 1:1 복구가 가능하다.

참고로 미러링은 Live로 데이터 변경을 업데이트하고 백업은 특정 시기에 변경된 데이터를 저장하는 것이기 때문에 다르다는 점 알아두자.

3. Pariting

Pariting

미러링보다 저렴하게 디스크의 데이터를 보호하기 위한 방법이다.

손상된 데이터를 복구하기 위하여 패리티를 저장할 디스크 드라이브 1개를 추가하는 것이다.

패리티는 별도의 전용 디스크에 저장하거나, 모든 디스크에 분산하여 저장할 수 있다.

패리티 계산은 XOR비트 연산을 사용한다.

RAID 0

Striping형태

여러 개의 멤버 하드디스크를 병렬로 배치하여 사용한다.

데이터를 분할하여 저장함으로써 속도를 올리는 방식입니다.

예를 들어, 하나의 디스크 속도가 10이라고 할 때 2개의 디스크를 RAID 0방식으로 합치면 20의 속도를 내는 것 입니다.

RAID 1

Mirroing형태

각 멤버 디스크에 같은 데이터를 중복 기록한다.

멤버 디스크 중 하나만 감염이나 데이터 손실로부터 안전하다면 데이터는 보존된다.

복원이 1:1 복사로 매우 간단하기 때문에 서버에서 끊김 없이 지속적으로 서비스를 제공하기 위해 사용한다.

RAID 2

여러 디스크에서 스트라이핑을 사용하며 일부 디스크는 ECC(오류 검사 및 수정) 정보를 저장한다. 패리티 저장방식은 비트 단위이며 Hamming code를 적용한다.

RAID 3에 비해 이점이 없어 더 이상 사용되지 않는다.

RAID 3

스트라이핑을 사용하며 하나의 드라이브를 패리티 정보 저장 전용으로 사용한다. 패리티 저장 방식은 Byte 단위이다. 내장 ECC 정보는 오류를 감지할 때 사용된다.

데이터 복구는 다른 드라이브에 기록 된 정보의 배타적 OR(XOR)을 계산하여 수행된다. I/O(입출력) 작업은 모든 드라이브를 동시에 처리하므로 RAID 3은 I/O(입출력)와 겹칠 수 없다.

이러한 이유로 RAID 3은 긴 레코드 응용 프로그램이 있는 단일 사용자 시스템에 가장 적합하다.

RAID 4

큰 스트라이프를 사용하므로 단일 드라이브에서 레코드를 읽을 수 있다.

이를 통해 읽기 작업에 중복 I/O(입출력)를 사용할 수 있다.

모든 쓰기 작업은 패리티 드라이브를 업데이트해야 하므로 I/O(입출력) 겹침이 불가능하다.

RAID 4는 RAID 5보다 이점이 없다.

RAID 5

기본 원리는 RAID 4와 비슷하지만, 패리티를 한 디스크에 밀어 넣지 않고 각 멤버 디스크에 돌아가면서 순환적으로 저장하여 입출력 병목 현상을 해결한다.

N개의 디스크를 사용하면 (N-1)배의 저장 공간을 사용할 수 있다.

RAID 4처럼 하나의 멤버 디스크 고장에는 견딜 수 있지만 디스크 두 개 이상 고장 나면 데이터가 모두 손실된다.

데이터베이스 서버 등 큰 용량과 무정지 복구 기능을 동시에 필요로 하는 환경에서 주로 쓰인다.

RAID 6

RAID 5와 원리는 같으며, 서로 다른 방식의 패리티 2개를 동시에 사용한다. 성능과 용량을 희생해서 가용성을 높인 셈이다. N개의 디스크를 사용하면 (N-2)배의 저장 공간을 사용할 수 있다.

스토리지 서버와 같이 디스크를 빼곡히 꽂는(기본 10개 단위) 환경에서 RAID 5는 유지보수가 어려우며, Array 안정성을 높이기 위한 목적으로 주로 사용된다.

RAID 10 (RAID 1 + 0)

RAID 1과 RAID 0을 결합하여 RAID 10이라고 종종 알아본다. RAID 1보다 높은 성능을 제공하지만 훨씬 더 높은 비용이 든다. RAID 1+0에서는 데이터가 미러링되고 미러가 스트라이프가 된다.

즉, A, B, C, D라는 디스크가 있을 때 A, B와 C, D는 각각 데이터가 미러링이 되고, A와B의 중복된 데이터를 X라고 하고 C와 D의 중복된 데이터를 Y라고 하면 X, Y는 스트라이프가 되는 것 이다.

출처:

https://namu.wiki/w/RAID

RAID - 나무위키

아래로 갈수록 성능과 안정성이 떨어지는 편이다. 동작 방식에 따라 Level 0 ~ 6으로 분류한다. 주로 사용되는 것은 0, 1, 5, 6이며 컨트롤러 개발사에 따라 다른 방식을 제공하기도 한다. Mirroring. 각 멤버 디스크에 같은 데이터를 중복 기록한다. 멤버 디스크 중 하나만 살아남으면 데이터는 보존되며 복원도 1:1 복사로 매우 간단하기 때문에, 서버에서 끊김 없이 지속적으로 서비스를 제공하기 위해 사용한다. 멤버 디스크를 늘리더라도 저장

namu.wiki

https://ko.wikipedia.org/wiki/RAID

RAID - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. 복수 배열 독립 디스크(Redundant Array of Independent Disks 혹은 Redundant Array of Inexpensive Disks)는 여러 개의 하드 디스크에 일부 중복된 데이터를 나눠서 저장하는 기술이다. 디스크 어레이(disk array)라고도 한다. 데이터를 나누는 다양한 방법이 존재하며, 이 방법들을 레벨이라 하는데, 레벨에 따라 저장장치의 신뢰성을 높이거나 전체적인 성능을 향상시키는

ko.wikipedia.org

https://searchstorage.techtarget.com/definition/RAID

What is RAID (redundant array of independent disks)? - Definition from WhatIs.com

Learn how the concept of using a redundant array of independent disks (RAID) has evolved to protect data in the case of a drive failure and the impact solid state storage (SSD) has had on the future of RAID.

searchstorage.techtarget.com

https://m.blog.naver.com/PostView.nhn?blogId=limoremo&logNo=220059411083&proxyReferer=https%3A%2F%2Fwww.google.com%2F

RAID기술 : 스트라이핑(Striping), 미러링(Mirroring), 패리티(Parity)

왜 RAID를 사용하는가? 여러 물리적인 디스크를 합하여 하나의 논리적인 유닛으로 작동하게 만들어 줌...

blog.naver.com

Forensic - 비활성 데이터

Hdssd — Sun, 4 Aug 2019 09:21:24 +0900

(1). 비활성데이터의 종류

파일 시스템 메타데이터($MFT)

파일 시스템 로그($LogFile, $UsnJrnl:$J)

웹 아티팩트 (웹 브라우저 캐시)

프리패치

바로가기 파일(.lnk, .LNK)

레지스트리 하이브 파일

이벤트 로그

휴지통 정보

(2). 수집 방법 – WinHex 도구를 사용한 비활성 데이터 수집.

WinHex : 헥스 값 편집, 디지털 포렌식, 데이터 복구 등에 사용되는 포렌식 도구

[Tools] - [Open Disk]로 비활성 데이터를 수집할 디스크를 선택.

C:\ 드라이브 선택.

완료된 화면은 위 사진과 같다. 여기서 필요한 데이터들을 수집한다.

데이터를 수집하기 위한 방법은 다음과 같다.

1. 수집하려는 데이터의 파일 경로를 알고 있다면 해당 경로로 가서 파일 수집

2. 전체 파일 목록(Explore recursively)에서 확장자/파일명으로 정렬하여 수집

- 파일 명이 같다면, 추가로 경로 정보를 보고 수집

$LogFile, $MFT / 경로 - C:\

먼저 C:\ 드라이브에 있는 파일 시스템 데이터를 수집한다. $로 시작하는 파일은 시스템을 관리하기 위한 파일이다. $LogFile 파일과 $MFT 파일을 선택하여 [오른쪽 클릭 – Recover/Copy]을 하면 수집할 수 있다.

폴더를 하나 만들고 그 폴더에서 FS 폴더(File System 줄임)를 만들어서 저장해준다. (종류 별로 구분해서 저장하기 위함이다.)

$UsnJrnl:$J / 경로 - C:\$Extend\$UsnJrnl

그리고 파일 시스템 로그 파일인 $UsnJrnl:$J 파일을 수집한다. 이 파일은 파일들의 속성 변경 정보를 담고 있다. $Extend 폴더에서 $UsnJrnl 로 들어가면 $J 파일을 볼 수 있다. 용량이 꽤 큰데, 아까와 같은 방법으로 수집한다. 저장은 FS 폴더에 한다.

WebCacheV01.dat / 경로 - C:\Users\[사용자 계정명]\AppData\Local\Microsoft\Windows\WebCache

다음으로 웹 브라우저 캐시 파일인 WebCacheV01.dat 파일을 수집한다.

Users\[사용자 계정명]\AppData\Local\Microsoft\Windows\WebCache 폴더에서 찾을 수 있다.

이 파일은 WEB 폴더를 만들어서 따로 저장한다.

프리패치 / 경로 - C:\Windows\Prefetch

다음으로 프리패치 파일을 수집한다.

C:\Windows\Prefetch 폴더에서 확장자(Ext.)로 정렬을 해주고 확장자가 pf인 파일만 수집한다. 이 파일들은 PF 폴더를 만들어서 저장한다.

다음으로 바로가기 파일을 수집하기 위해 Explore recursively로 전체 파일 목록을 조회한다.

최상위 경로로 이동한 뒤, 위 사진의 빨간색 박스로 해놓은 버튼을 누른다.

바로가기 파일 / Explore recursively에서 확장자 정렬 후 lnk, LNK 확장자 파일

확장자로 정렬 후 “lnk”를 타이핑해주면 LNK 확장자(대문자)를 가진 파일들이 나온다. 이 파일들을 다 수집해주고,

lnk 확장자(소문자)를 가진 바로가기 파일도 있으므로 이 파일들도 수집해준다. (정렬 후에 타이핑을 해주어야 검색이 된다.)

수집 방법은 LNK 아래 파일을 선택해준 뒤에 “lnk”를 타이핑해주면 된다.

이 파일들은 LNK 폴더를 만들어서 따로 저장해준다.

레지스트리 하이브 파일 / 경로 - C:\Windows\System32\config

다음으로 레지스트리 하이브 파일을 수집한다. (Explore recursively 해제 후 경로로 들어가서 수집)

C:\Windows\System32\config 경로에 있는 SAM, SECURITY, SOFTWARE, SYSTEM 파일을 저장한다. 이 파일들은 REG 폴더를 만들어서 저장한다.

추가로 사용자 계정 관련 레지스트리 하이브 파일을 수집하기 전에 아래와 같은 설정을 진행한다.

[Options] - [Directory] - [Directory Browser]로 이동.

Path 항목을 255로 설정 -> [OK] 클릭.

경로를 표기하기 위한 설정임.

NTUSER.DAT / Explore recursively에서 이름 정렬 후 "ntuser" 검색

사용자 계정 관련 레지스트리 하이브 파일(NTUSER.DAT)을 수집하기 위해 Explore recursively에서 이름으로 정렬해주고

“NTUSER”를 타이핑해주면 파일을 확인할 수 있다. 여기서 경로를 보고 해당 계정 폴더에 위치한 NTUSER.DAT 파일을 수집해준다.

UsrClass.dat / Explore recursively에서 이름 정렬 후 "usrclass" 검색

그리고 사용자별 애플리케이션 바인딩 정보를 가지고 있는 레지스트리 하이브 파일(UsrClass.dat)을 수집한다.

역시 이름 정렬 후 “usrclass”를 타이핑하면 파일을 확인할 수 있다. 이 파일도 저장해준다.

NTUSER.DAT, UsrClass.dat 파일들도 REG 폴더에 저장해준다.

이벤트 로그 파일 / 경로 - C:\Windows\System32\winevt\Logs

다음으로 C:\Windows\System32\winevt\Logs 디렉터리에 위치한 이벤트 로그 파일들을 수집해준다.

이 파일들은 EVT 폴더를 만들어서 따로 저장해준다.

휴지통 정보 / 경로 - C:\$Recycle.Bin

다음으로 C:\$Recycle.Bin 디렉터리에 위치한 휴지통 정보를 수집한다.

(3). 얻을 수 있는 정보

파일 시스템 메타데이터($MFT)

- 파일의 위치, 속성, 시간정보, 이름, 크기 등의 메타 데이터를 저장하고 있다.

파일 시스템 로그($LogFile, $UsnJrnl:$J)

- 새로운 파일의 생성, 내용 변경, 파일 이름 변경 등의 MFT 엔트리에 영향을 주는 모든 정보를 기록함.

웹 아티팩트 (웹 브라우저 캐시)

- 웹 브라우저의 흔적을 관리하는 파일.

프리패치

- 응용프로그램 [이름, 실행 횟수, 마지막 실행 시간, 파일의 파일시스템 시간 정보, 위치한 볼륨 정보, 참조하는 파일 목록]을 획득 가능함.

바로가기 파일(.lnk, .LNK)

- 바로가기에 관련된 파일을 수집함.

레지스트리 하이브 파일

- SAM: 로컬 계정과 그룹 정보

- SYSTEM: 시스템 부팅에 필요한 전역 설정 정보

- SOFTWARE: 시스템 부팅과 관련 없는 전역 설정 정보

- SECURITY: 시스템 부팅에 필요한 전역 설정 정보

- NTUSER.dat: 사용자별 설정 정보

- usrclass.dat: 사용자별 애플리케이션 바인딩 정보

이벤트 로그

- 이벤트 로그 파일을 수집.

휴지통 정보

- 휴지통 정보를 수집.

참고출처:

비활성 데이터 수집(디스크 포렌식) - WinHex

* K-Shield 주니어 2기 공부 내용 정리 # 비활성 데이터 (비휘발성 데이터, non-volatile data)- 저장되...

blog.naver.com

DEFCON 21 Round4 NFPC: Write up

Hdssd — Tue, 16 Jul 2019 22:39:19 +0900

DEFCON 2013 Network Forensics Puzzle Contest: Mystery Date

Gregory, still unsure of Betty's true identity, meets with a group identifying themselves as Betty's Associates. They gave him a list of demands including numbers to bank accounts, and additional secret documents. Betty's Associates told Gregory he will be provided with information regarding the delivery of the goods.
Use the Round 4 packet capture in this folder to answer the following question:

1.What is the password provided to Gregory?

MD5 CHECKSUM:
round4.pcap:
a2466895a6b822fedc947411b1c5dc0f

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.
※문제 출처: LMG Security

문제의 핵심은 Round4 패킷을 분석해서 Gregory에게 제공된 비밀번호를 알아내는 것이다.

WireShark를 이용해서 분석을 해보도록 하자.

Conversations

[Conversations] 기능을 통해 전체적인 세션을 보게 되면 별다른 특이점이 보이지 않으므로 [Export - HTTP object list]를 보면 mail을 이용한 흔적이 보인다.

HTTP object 목록

컨텐트 타입을 보면 urlencoded가 보인다. 이외에는 눈에 띄는 흔적이 없고 이와 같은 것이 많지 않으므로 하나하나 다 확인한다.

7번 세션

7번세션에서 장문으로 URL 인코딩된 글이 확인 된다. 이를 디코딩 하면

From: Betty Swindoll <betty_swindoll@aol.com>
To: d34thm3rch4nt <d34thm3rch4nt@aol.com>
Sent: Wed, Jun 26, 2013 1:13 pm
Subject: Dinner and a Show

Hey Greg!
I'm so happy you made it. :)
We should see a concert! How about Rod Stewart, the hits.
Second Mezzanine, Section 4, Row H, Seat 410.
You know the location and password for the drop.
We should get dinner afterwards!

이후 XML문서가 작성되어있다.(장문이므로 생략.)

여기서, 위의 You know location and password for the drop. 이라는 말과 XML 문서에 KML태그가 있는 점을 보아 이를 확인할 필요성이 있어 보인다.

※ KML 태그란 Keyhole Markup Laanguage의 약자로 지리 데이터를 표시하는 데 사용되는 파일 형식을 말한다.

KML태그를 확인하기 이전에 아직 남은 URL인코딩된 메일을 보면

15번째 세션

15번째 세션에서 장문으로 URL인코딩된 글이 확인 된다. 이를 디코딩 해보면

From: d34thm3rch4nt@aol.com

To: betty_swindoll@aol.com
Subject: Re: Dinner and a Show
betty,
Got it, I'll be there.
Greg

betty 메일에 대한 답장으로 Greg가 작성한 글이었다.

그럼 이제 KML 태그 확인을 하기 위해 XML 문서를 복사해서 텍스트 에디터에 붙여넣기를 한다.

이때, '\','\n'과 같은 특수문자는 제거한다. 하지않으면 오류가 발생하기 때문이다.

KML 확장자로 파일을 저장한 후 이를 실행해보기 위해 Google Earth를 이용한다.

실행 결과

KEY = Brutus

DEFCON 21 Round3 NFPC: Write up

Hdssd — Mon, 15 Jul 2019 04:07:09 +0900

DEFCON 2013 Network Forensics Puzzle Contest: On the Trail

Gregory is hesitant to meet with the mysterious Betty. While working late in the office, Gregory hears his phone ring.He checks his phone and knows he has no choice but to attend the meeting with Betty.

Use the Round 3 packet capture in this folder to answer the following question:

1.What will Gregory die from, if he fails to meet with Betty?

MD5 CHECKSUM:

round3.pcap:
cf4cd27c090c27598d43f58978fa9a1e

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.

※문제 출처: LMG Security

문제의 핵심은 Round 3 패킷을 분석해서 Gregory가 어떻게 죽는지에 대해 알아내는 것이다.

WireShark를 이용해서 분석을 해보도록 하자.

Conversations

Conversations을 통해 전체적인 TCP세션통계를 보면 많은 세션이 TLS를 이용하여 통신한다.

12번째 세션에서 첫 평문 통신을 한다. 이를 봐보자.

12번째 세션

12번째 세션에서 중요 POINT.

1. Content-Type이 mms-message

2. XML 태그에 확장자명 mp4

3. mp4의 파일 시그니처

이 세 가지를 생각했을 때 message에 동영상이 담겨있음을 알 수 있다. 파일 스트림부분만 추출해서 실행해보면 영상에서 다음과 같은 부분이 확인된다.

추출 영상 화면

여기서 'DYSENTERY'는 '이질'이라는 뜻이며, 전염병의 일종이다.

KEY: DYSENTERY

DEFCON 21 Round2 NFPC: Write up

Hdssd — Fri, 12 Jul 2019 00:07:53 +0900

DEFCON 2013 Network Forensics Puzzle Contest: Track Star

Betty attempts to keep her tracks covered as she establishes a meeting location with Gregory.
Use the Round 2 packet capture in this folder to answer the following question:

1. What city are they meeting?

MD5 CHECKSUM:

round2.pcap:
7d0273b7e867f90feb80ce31fe077c90

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.

※문제 출처: LMG Security

문제의 핵심은 round 2 패킷을 분석해서 어느 도시에서 만나는지 알아내는 것이다.

WireShark를 이용해서 분석을 해보도록 하겠다.

Frame 6783

DCC(Direct Client-to-Client) SEND는 사용자가 파일을 보낼 수 있게 해주는 서비스다.

위에서 "DCC SEND r3nd3zv0us 2887582002 1024 819200"이 의미는 순서대로

DCC SEND <filename> <ip> <port> <file size>와 매칭된다.

즉, 'r3nd3zv0us'라는 이름의 파일을 1024번 포트로 전송했음을 알 수 있다.

41번 세션

41번 세션을 보면 메일을 주고 받으며 전한 메시지 내용이 적혀있다. 이를 디코딩 해보면

From: Betty Swindoll <betty_swindoll@aol.com>

To: d34thm3rch4nt <d34thm3rch4nt@aol.com>

Sent: Wed, Jul 3, 2013 10:01 am

Subject: Sorry

Hi Greg,

I am so sorry I no-showed. I wanted to make sure you didn't bring any friends :) We can try and meet up again though! Here is the password for where you should meet me: S3cr3tVV34p0n
Can't wait for you to get here!
Betty

-----------------------------------------------------------------------------------------------------------------------------

From: d34thm3rch4nt@aol.com

To: betty_swindoll@aol.com

Subject: Re: Sorry

Betty,
I've got the password, I'll be there
Greg

여기서 핵심은 'S3cr3tVV34p0n' 패스워드이다.

138번 세션

1024번 포트로 전송된 패킷을 보면 파일 크기가 819KB로 전에 DCC SEND 서비스를 이용해 전송한 파일 크기 819200과 유사함을 알 수 있다. 비밀번호가 제공되었으므로 암호화된 파일일 것이라 추측된다. raw데이터로 저장하여 복호화를 해보도록 하자.

VeraCrypt 툴을 이용

VeraCrypt 툴을 이용하여 복호화를 진행했더니 두 개의 파일이 나타났다.

추출 메시지

추출 이미지

둘은 LAS VEGAS에서 만나기로 한 것 같다.

KEY: LAS VEGAS

인공지능 용어 개념정리

Hdssd — Thu, 11 Jul 2019 22:13:49 +0900

인공지능은 나날이 발전하고 여러 분야에서 사용하는 기술이 되었다. 기업들의 투자 규모도 커져가고 있기 때문에 앞으로 더욱더 넓어질 전망이다. 하지만 대부분의 사람들은 인공지능 분야의 의미를 잘 모른다. 시대를 따라가기 위해서는 관심을 갖고 알고자 하는 자세를 가져야 한다. 그러한 이유로 다음은 인공지능, 머신러닝, 딥러닝과 같은 용어들의 개념 이해를 위해 정리한 것 이다.

인공지능(Artificial Intelligence)

인공지능이란 시스템에 의해 만들어진 지능을 의미한다. 즉, 인간의 지적 능력을 인공적으로 구현한 것을 말한다. 이해를 돕는 좋은 예시로서는 세계적으로 유명한 알파고 vs 이세돌 바둑, 영화: 아이 로봇 등이 있다.

인공지능은 '좁은 인공지능(Narrow AI)' 혹은 '약한 인공지능(Weak AI)'과 '범용 인공지능(General AI)'으로 나뉘기도 한다. 좁은 인공지능은 특정한 일에 초점을 두어 기능을 발휘하는 기술들을 말한다. 예로 네비케이션, 챗봇 등이 있다. '범용 인공지능'은 보다 광범위한 일을 하는 기술이다. 즉, 한 가지가 아닌 사람과 같은 수준 혹은 그 이상을 말한다.

머신러닝(Machine Learning)

인공지능의 하위 분야로서 일종의 알고리즘이다. 이는 데이터를 학습함으로서 일련의 규칙성을 찾아 모방하는 것이다. 간단히 말하면 머신러닝 알고리즘에 예시들을 지속적으로 보여주고, 모방하도록 하는 것이다. 마치 물개들이 훈련을 통해 배우는 것과 같다. 가장 유명한 예로는 여러 고양이 사진을 보여주어 고양이와 다른 동물들을 구분하도록 하는 것이 있다.

머신러닝 사례의 예로 뉴욕에 있는 한 대형 병원이 머신러닝을 사용해 사이버 보안 문제를 해결해오다가, 최근에는 같은 알고리즘을 진료에 활용하기 시작했다고 한다. 특히 아편 유사제와의 전쟁에 알고리즘을 활용할 수 있다는 것을 깨닫고 적극 활용하기 시작했다.

딥러닝(Deep Learning)

딥러닝은 머신러닝과 대부분이 유사하기 때문에 차이점을 이해하면 분명하게 와 닿게 된다. 머신러닝은 A라는 것에 대해 일부 데이터만 학습시키는 것이지만 딥러닝은 A 자체를 학습하도록 한다. 이것은 머신러닝으로 구성된 여러 층위를 통과하는데, 이 머신러닝의 층들을 신경망이라 부른다. 신경망은 인간의 뇌 구조를 기계가 흉내 낼 수 있도록 설계되어 있다.

간단히 설명하자면 머신러닝이 학습을 통해 결과물을 산출하면 그 값을 가지고 다시 입력해 결과물을 얻어가는 과정을 반복하는 게 딥러닝이라고 볼 수 있다. 그리고 이 머신러닝을 모아 뇌의 신경망처럼 만든 것이 인공신경망 구조이다.

출처:

https://www.boannews.com/media/view.asp?idx=81202

[주말판] 인공지능, 고민을 멈추고 직접 해봐야 할 때

인공지능은 이제 누구나 갖고 싶어 하고, 알고 싶어 하는 기술이 되었다. 기업들도 인공지능에 대한 투자를 확대하고 있다. 하지만 아직까지 인공지능을 활용해 실제 생산성을 향상시킨 사례는 드물다. 인공지능이 아직도 신기루 같이 느껴지는 이유다.

www.boannews.com

디지털 포렌식의 유형

Hdssd — Sun, 7 Jul 2019 17:20:01 +0900

분석 목적에 따른 분류

일반적으로 분석 목적에 따라 크게 두 가지로 분류된다.

1. 사고 대응 포렌식(Incident response forensics)

- 해킹 등의 침해사고 시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자의 신원, 피해내용, 침입 경로 등을 파악하기 위한 분야로서 네트워크 기술과 서버의 로그 분석 기술과 운영체제에 대한 이해가 필요하다.

2. 정보 추출 포렌식(Information extraction forensics)

- 범행 입증에 필요한 증거를 얻기 위하여 디지털 저장매체 기록되어 있는 데이터를 복구하거나 검색하여 찾아내고, 범행을 입증할 수 있는 증거를 데이터를 분석하는 것을 목적으로 한다.

분석대상에 따른 분류

1. 디스크 포렌식

- 물리적인 저장장치인 하드디스크, 플로피디스크, CD-ROM 등 각종 보조 기억장치에서 증거를 수집하고 분석하는 분야이다.

2. 시스템 포렌식

- 컴퓨터의 운영체제, 응용 프로그램 및 프로세스를 분석하여 증거를 확보하는 분야이다.

3. 네트워크 포렌식

- 네트워크를 통하여 전송되는 데이터나 암호 등을 분석하거나 네트워크 형태를 조사하여 단서를 찾아내는 분야이다.

4. 인터넷 포렌식

- 인터넷으로 서비스되는 월드와이드웹(WWW), FTP 등의 인터넷 응용 프로토콜을 사용하는 증거를 수집하는 분야이다. 분석대상 별로 디스크 포렌식, 네트워크 포렌식, 시스템 포렌식, 모바일 포렌식 등이 있다.

5. 모바일 포렌식

- 휴대폰, PDA, 스마트폰, 디지털카메라 등 휴대용 기기에서 필요한 정보를 수집하여 분석하는 분야이다.

6. 데이터베이스 포렌식

- 데이터베이스로부터 데이터를 추출·분석하여 증거를 획득하는 분야이다.

7. 암호 포렌식

- 문서나 시스템에서 암호를 찾아내는 분야이다.

8. 침해사고 대응 포렌식

- 침해사고란 해킹, 컴퓨터바이러스, 논리 폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다. 사고의 재발을 방지하기 위해서는 피해시스템에 대한 자료수집과 악성코드 감염 여부 조사 및 해킹 침입 경로 파악 등 디지털 포렌식 조사과정이 요구된다.

9. 사물인터넷 포렌식

- 최근 디지털 포렌식은 PC 및 서버 등 전통적인 기기와 같은 저장매체의 범위를 넘어서 스마트폰, 태블릿과 같은 휴대용 스마트 단말기는 물론 자동차 시스템, 가정용 셋탑박스, 스마트TV 스마트시계 산업용 기기, 스마트 등산복과 같은 웨어러블 기기 등 사물인터넷(IoT) 기기를 대상으로 그 범위가 빠르게 확대될 필요성이 요구되고 있다.

파일시스템(File System) 개념

Hdssd — Sat, 6 Jul 2019 19:50:41 +0900

파일 시스템은 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제를 가리키는 말이다.

사진, 동영상 등과 같은 데이터가 파일이나 디렉터리 형태로 저장매체에 저장된다.

데이터의 규모가 날이 갈수록 많아지고 있기 때문에 정리가 안되어 있다면 관리가 어렵다.

왜냐라고 하면 실생활에 비유했을 때 난장판인 엄청난 규모의 공간에서 펜 하나를 찾으라고 한다면 찾기 어려운 건 당연하기 때문이다. 그래서 효율적인 관리를 위해서 도입된 게 파일 시스템이다.

현재 운영체제를 통해 파일에 데이터를 기록하고, 파일을 어느 순간 읽고, 지우고, 암호화하고, 복사하는 등의 작업이 원할이 이루어질 수 있는 것은 계속해서 개선되어 가고 있는 파일 시스템이 있기 때문이다.

파일 시스템은 각 운영체제나 저장매체 혹은 사용 환경에 따라 고유한 파일 시스템이 사용된다.

다음은 운영체제 별로 사용하는 파일시스템이다.

저장매체	운영체제	파일 시스템
디스크 장치	Windows	FAT(FAT12/16/32, exFAT), NTFS, Live File System, ReFS
	Linux	ext(ext2/3/4), XFS, JFS, btrfs
	Solaris	UFS, ZFS
	Mac OS	HFS, HFS+, APFS
	OS2	HPFS

대부분의 운영체제에는 둘 이상의 파일 시스템이 있고 고정적으로 사용되지는 않는다.

불러오는 중입니다...

http://forensic-proof.com/archives/352

DEFCON 21 Round1 NFPC: Write up

Hdssd — Fri, 5 Jul 2019 03:38:54 +0900

DEFCON 2013 Network Forensics Puzzle Contest: An Affair to Remember

Having accepted the Jensen case, Jack and his team install network taps and wireless capture devices in Mr. Jensen'business and home.

During monitoring, Jack and his team discover an interesting suspect, Betty.

This could be the woman Mrs. Jensen fears her husband is having an affair with.

Jack assigns you the forensic analyst to look further into the information capture.

You learn that a meeting has been setup.
Use the Round 1 packet capture in this folder to learn more about the case and answer the following question:

1. What day of the week is the meeting scheduled for?

MD5 CHECKSUM:

round1.pcap:
d0c7ee4bd7b18d6dea1f35b09b39d4c8

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.

※문제 출처: LMG Security

문제의 핵심은 Round 1 패킷을 분석해서 회의가 예정된 요일이 언제인지 알아내는 것이다.

WireShark를 이용해서 분석을 해보도록 하자.

회의가 예정된 요일을 찾아야하므로 패킷의 용량, 프로토콜 등을 참고한다.

IRC 프로토콜 흔적 발견

패킷을 보면 7번째 패킷에서 IRC 프로토콜로 통신을 요청하는 것을 볼 수 있는데 이에 대해 17번 패킷에서 응답이 왔으므로 통신을 했음을 알 수 있다. IRC 프로토콜 특징상 데이터가 기록될 확률이 높다. 해당 패킷에 대한 흐름을 보기 위해 Follow TCP Stream을 하면 아래와 같이 대화를 주고받는 내용을 볼 수 있다.

통신 내용

TCP Stream 내용을 보면 Greg와 Betty가 대화를 한 내용이 발견됐다. 서로 인사를 나누고 Greg가 어떤 날에 만나고 싶은지 물어보고 Betty가 대답을 하는데 내용이 인코딩되어 원래의 내용을 알아볼 수가 없다.

인코딩 된 문자열들을 보면 16진수로 이루어졌고 각각 세미콜론(;)으로 1바이트씩 나누었다. 이를 보면 HTML 인코딩이 된 것이라 추측된다. HTML디코딩을 위한 웹사이트에 들어가 문자열을 복호화한다.

HTML 디코딩 과정을 통해서 Betty의 대답을 이어서 볼 수 있다.

대화 내용을 보면 수요일 오후 2시에 만남을 확인할 수 있다.

KEY: Wednesday

랜섬웨어란?

Hdssd — Thu, 4 Jul 2019 15:57:54 +0900

CERBER 랜섬웨어 감염 PC 바탕화면

랜섬웨어?

랜섬웨어란 Ransome 몸값 + ware 제품의 합성어이다.

암호학에서 나온 악성코드의 일종으로, 일단 감염이 되면 바탕화면이 위와 같이 변하고 파일이 암호화되어 접근할 수 없게 된다.

감염자가 해커의 요구를 들어주지 않는다면 복호화를 할 수 없다. 물론 요구를 들어준다고 해서 복호화를 할 수 있다고 확신할 수도 없다. 주로 해커의 요구는 돈이며 지불방식은 Tor와 가상화폐를 이용하여 진행됩니다. Tor와 가상화폐를 사용하는 이유는 뒤가 안 잡히기 때문이다.

Tor에 대해 궁금하다면 다음을 참고하도록 하자.

https://hardner.tistory.com/35

Tor Browser란?

Tor Browser? Tor란 다크 웹 소프트웨어 중 하나로, The Onion Router의 약칭이다. 네트워크 우회와 익명화를 위해 사용하는 툴 중 하나며, 비슷한 것으로는 프리넷과 I2P, Ultrasurf 등이 있지만 Tor는 세계적인..

hardner.tistory.com

시간이 지남에 따라 복호화툴이 나오기도 하지만 해독 키 없이 파일을 복구하는 것은 어려운 문제이다.

랜섬웨어 유포방식

- 스팸메일 및 스피어 피싱

스팸은 랜섬웨어 유포를 위한 가장 흔한 방법이다. 일반적으로 사회공학 기법을 이용하여 퍼진다.

피해자들은 이메일 내용에 속아서 첨부파일을 다운로드하거나 링크를 클릭한다.

속을 수밖에 없는 이유는 여러 방면으로 사용자가 속을 수 밖에 없는 방법으로 메일이 오기 때문이다.

예로 은행이나 직장에서 오는 메일 등이 있다.

- 신뢰할 수 없는 사이트

신뢰할 수 없는 사이트의 경우 접속만으로도 '드라이브 바이 다운로드' 공격으로 감염될 수 있다.

이를 예방하기 위해서는 PC의 운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트하는 것이 중요하다.

또한 감염의 원인이 될 수 있는 신뢰성이 떨어지는 사이트의 접속 자제해야 한다.

※드라이브 바이 다운로드?

취약한 웹사이트에 접속했을 때 사용자 모르게 악성 스크립트가 동작하여 취약점을 유발하는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를 감염시키는 기법이다.

- 파일공유 사이트

토렌트, 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드하고 이를 실행할 경우, 악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요하다.

- SNS

최근 페이스북, 트위터 등 SNS에 올라온 단축 URL 및 사진을 이용하여 랜섬웨어를 유포하는 사례가 있다.

특히, SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요하다.

- 네트워크망

네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염·확산시킵니다.

이를 예방하기 위해서는 사용하는 PC의 운영체제와 SW의 최신 보안 패치를 적용하여 항상 최신의 보안 상태를 유지해야 한다.

유명한 랜섬웨어

- 겐드크랩(GandCrab)

겐드크랩 악성코드는 버전 1이 발견된 2018년 1월부터 시작해 현재까지 지속적으로 위협을 가하고 있다. 주로 유창한 한국어 구사 능력을 기반으로 이메일을 통한 이력서 사칭, 파일 다운로드 유도, 멀티 바이징 등을 통해 지금 이 순간도 활발히 유포하고 있다. 겐드크랩 랜섬웨어에 감염되면 주요 파일(doc, ppt, hwp 등)을 암호화시키며, 확장자는 4 버전까지는 GDCB, KRAB 등으로 변경되고, 5 버전부터는 임의의 확장자 명으로 변화된다. 암호화된 파일의 복구를 위해 Tor 브라우저를 설치해야 하며, 미화 3000달러 상당의 대시(DASH) 또는 비트코인(BitCoin)을 지불하도록 요구한다. 주요 목적은 금전적 이득이다. 개발자는 다크 웹에서 Raas(Ransomwer as a Service)를 기반으로 랜섬웨어를 제작해 판매하고 있으며 유포자는 다크 웹을 통해 이 악성코드를 구매해 유포하고 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리한다.

- 워너크라이(WannaCry)

2017년 5월 워너크라이 랜섬웨어 공격은 미국 국가안보국(NSA)에서 유출된 'EternalBlue'라는 악용 벡터를 이용해 인터넷을 통해 확산됐다. 전례가 없는 규모로 150여 개국에 23만 대 이상의 컴퓨터를 감염시켰으며, 비트코인 가상화폐를 사용하는 사용자들에게 돈을 20여 개의 다른 언어를 사용하여 요구했다. WannaCry는 컴퓨터당 300달러를 요구했고, 컴퓨터가 감염된 날로부터 피해자들에게 7일간의 마감시간을 주었다. 만약 기한 내에 요구사항을 안 들어주면 암호화된 파일은 삭제되었다.

WannCry는 마이크로소프트 윈도우 운영체제의 SMB(Sever Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파했다. 감염된 PC는 다양한 문서 파일(doc, ppt, hwp 등) 외 다수의 파일이 암호화되고, 바탕화면이 변경되며, 확장자를 .WNCRY 또는 .WNCRYT로 변경된다.

- 케르베르(CERBER)

CERBER는 말하는 랜섬웨어로 유명하다.

※감염 시에 "Attention! Attention! Attention!?

Your documents, photos, databases and other important files have been encrypted” 음성 메시지가 출력됨.

웹사이트 접속 시 취약점을 통해 감염되며, 파일을 암호화하고 확정자를 .cerber로 변경한다. 최근 이메일을 통해 유포되는 정황이 발견되었다. 악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송하며 네트워크가 연결되지 않더라도 파일은 암호화된다. 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만든다.

Ransomware - Wikipedia

Ransomware is a type of malware from cryptovirology that threatens to publish the victim's data or perpetually block access to it unless a ransom is paid. While some simple ransomware may lock the system in a way which is not difficult for a knowledgeable

en.wikipedia.org

https://www.datto.com/blog/how-ransomware-is-spread

How is Ransomware Spread?

Ransomware attacks have emerged as a major threat to individuals and businesses alike.

www.datto.com

https://www.krcert.or.kr/ransomware/information.do

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

+KISA_갠드크랩_분석_스페셜_리포트.pdf.