Data Leakage #1

https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html

CFReDS - Data Leakage Case

시나리오 존재

분석 목표 존재

 

시나리오는 훑어보고 시작하는 것을 추천드립니다. 중요한 부분만 요약하면 다음과 같습니다.

 

1. A사의 개발 매니저가 경쟁사인 B사의 누군가에게 기술 유출 요청을 받고 이를 수락했음

2. 이메일 서비스, 개인 클라우드 저장소, USB, CD를 통해 기술 유출

3. USB와 CD를 반출하려하다 적발. 해당 장치들에서는 유출에 대한 증거는 찾지 못함.(쓰기방지장치 사용됨)

4. 회사 보안 규약은 다음과 같음.

  - 전자 기밀 파일은 허가된 외부 저장장치 혹은 안전한 네트워크 드라이브에 존재해야함

  - 기밀 서류 및 전자 파일은 10:00 ~ 16:00 사이 허용된 시간, 허용된 권한 내에서만 열람 가능

  - 허용되지 않은 전자기기 (태블릿, 외부저장장치, 스마트 기기 등)는 회사에서 사용 금지

  - HDD, SSD, USB 메모리 스틱 및 CD/DVD와 같은 모든 저장 장치는 '보안 점검 지점' 규칙에 따라 금지

5. 기술 유출자는 IT에 큰 관심이 있으며, 디지털 포렌식에 대한 약간의 지식이 있음. (안티포렌식 위험)

 

해당 데이터셋 분석을 통해 숙달할 수 있는 디지털 포렌식 분석 포인트

 

분석 포인트	설명
데이터 유출 유형 이해	[ 저장장치 ]  > HDD, SSD  > USB Flash Drive, Flash memory  > CD/DVD [ 네트워크 통신 ]  > 파일 공유, 원격 데스크탑 연결  > E-mail, SNS  > 클라우드 서비스, 메신저
윈도우 포렌식	- 이벤트 로그 - 열렸던 파일 / 폴더 흔적 - 프로그램 사용 흔적 - CD/DVD 레코딩 흔적 - PC에 연결됐던 외부저장장치 흔적 - 네트워크 드라이브 추적 - 시스템 캐시 - 윈도우 검색 데이터베이스 - 볼륨 섀도우 카피
파일 시스템 포렌식	- FAT, NTFS, UDF - 메타데이터 (NTFS MFT, FAT Directory Entry) - 타임스탬프 - 트랜잭션 로그 (NTFS)
웹 브라우저 포렌식	- 기록, 캐시, 쿠키 - 인터넷 사용 흔적 (검색, URL등)
E-Mail 포렌식	- MS Outlook 파일 탐색 - E-Mail 확인 및 첨부파일
데이터베이스 포렌식	- MS ESE 데이터베이스 - SQLite 데이터베이스
삭제된 데이터 복구	- 메타데이터 기반 복구 - 시그니처, 내용 기반 복구 (카빙) - 휴지통 - 미사용 영역 탐색
유저 행위 분석	- 이벤트 기준의 포렌식 타임라인 생성 - 타임라인 시각화

 

이후 Questions을 참고해 문제를 풀이하면 됩니다. 풀이는 다음 게시글부터 진행하겠습니다.