디지털포렌식 with CTF - [Disk Forensic] 09

A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오.

 

KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)

ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB

 

사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3.10.1, Dcode v4.02

evidence.001 이미지 파일을 FTK Imager로 분석

• NTFS 파일 내에 의심스러운 10개의 하위 폴더를 확인

 

유출된 내부문서로 추정되는 PDF 파일 확인

 

해당 디렉터리의 Dropbox 앱의 cache.db 파일을 extract

 

extract한 cache.db 파일을 DB Browser for SQLite로 open -> Browse Data 탭에서 plist 관련 파일 내용을 확인

 

• plist 파일 : OS X, iOS 프로그래밍에 이용되는 객체 직렬화 파일이다. 사용자 설정이나 어플리케이션 정보 등이 저장된다.

 

tim_folder key의 data부분을 더블클릭하면 Base64로 인코딩된 내용을 확인할 수 있음

 

 

해당 텍스트를 복사하여 plist에 붙여넣고 List View 탭을 확인

 

 

 

해당 내용에서 pdf를 검색하니 S-Companysecurity.pdf 문자열을 찾을 수 있고 그 위로 두개의 NS.time이라는 시간정보로 보이는 항목과 NS.string 아래 2.1MB 문자열을 통해 파일 크기도 확인

 

추가적인 시간 정보 확인을 위해 Dropbox.sqlite 파일을 분석

ZMODIFIEDDATE / ZPATH 컬럼 내용으로 S-Companysecurity.pdf 파일의 업로드 시간을 확인할 수 있다.

plist 분석 내용과 조합하면,

357554798.000000이 수정시간이고(업로드 전), 378291354.000000이 업로드 시간임을 알 수 있다. -> ZMODIFIEDDATE는 업로드 시간

 

Dcode 프로그램을 이용하여 문제에서 요구하는 UTC +09:00의 시간을 확인

• 업로드 시간

 

• 수정 시간

 

 

KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)

KEY Format : 2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB