BlackLight에서 애플 Keychain 구문 분석

원문 : https://www.blackbagtech.com/blog/mac-forensics/apple-keychain-parsing-in-blacklight/


작성자 : Stephanie Thompson, 솔루션 엔지니어

번역/편집 : CK 블로거


키 체인(Keychain)은 macOS 및 iOS 장치에서 사용자 이름과 비밀번호를 저장하기 위해 사용되는 암호화 된 container 이며 신용 카드 번호 및 은행 계좌 개인 식별 번호와 같은 기밀 정보입니다. BlackLight 2020 R1은 파일 확장자 (.keychain 및 .keychain.db)로 식별되는 키 체인 파일의 정보를 구문 분석 할 수 있습니다.



BlackLight 2020 R1의 새로운 처리 기능


키 체인 파일은 기본 Triage 수준에서도 사용할 수 있는 '데이터 추출(Extract Data)' 옵션으로도 처리할 수 있습니다. 암호를 입력하지 않으면 BlackLight는 암호 없이 키 체인을 구문 분석합니다. 잠긴 키 체인을 암호가 없이 열면 저장된 데이터의 보호 값을 볼 수 없습니다.


일반적으로 시스템 키 체인 파일은 암호 없이 잠금 해제 할 수 있는 유일한 키 체인입니다. 사용자의 로그인 비밀번호는 사용자의 login.keychain 파일을 잠금 해제하는 데 사용됩니다. 사용자의 비밀번호를 알고 있거나 시도하고 싶은 추측이 있는 경우 증거 추가 창의 'Manage Passwords..'버튼을 클릭 하십시오 .






'Manage Passwords…'를 클릭하면 알려진 암호 또는 가능한 암호를 입력하거나 암호 목록 텍스트 파일을 가져올 수 있는 암호 창이 나타납니다. 큰 비밀번호 목록을 넣어 사용할 수 있지만 이 기능을 암호 해제 공격 방식으로 사용하는 것은 권장하지 않습니다. 추가할 비밀번호 문자열은 UTF-8로 인코딩되어야 하며 추가 된 비밀번호 목록에는 한 줄에 하나 씩 비밀번호가 있어야 합니다.




(참고 : 키 체인 처리는 오직 초기 증거 수집 시에만 발생합니다.)



키 체인 분석


처리가 완료되면 파싱 된 키 체인 데이터는 'Actionable Intel'의 'Passwords subview'에 있는 'Apple Keychain'섹션에서 확인할 수 있습니다. 암호를 입력하지 않고 이미지가 처리 된 키 체인 분석 결과와 사용자의 로그인 암호를 사용하여 이미지가 처리 된 결과를 살펴 보겠습니다.


키 체인에는 다양한 유형의 항목이 포함되어 있습니다. 사용자의 로그인 키 체인에서 찾을 수 있는 것은 사용자가 만들거나 연 잠긴 디스크 이미지 파일 (dmg)과 관련된 암호입니다. 구문 분석 된 잠금 키 체인 (비밀번호 없음)과 구문 분석 된 잠금 해제 키 체인 (비밀번호 제공)의 차이점을 보여주기 위해 아래에 표시된 예는 저장된 디스크 이미지 비밀번호에 대한 키 체인 항목을 정렬해 보았습니다.


  • 수집시 비밀번호 없음

login.keychain-db 파일 (파일 이름에 -db 필터를 사용하여 지정)에서 'dmg'가 포함 된 이름을 가진 'Actionable Intel'키 체인 항목의 파일 필터 기능을 사용하면 6 개의 항목이 반환됩니다. BlackLight 는 비밀번호가 저장된 값 필드를 제외하고 키 체인에 포함 된 항목을 구문 분석했습니다 .




  • 수집시 사용자의 로그인 비밀번호 입력함

새 case 파일에서 동일한 증거 파일이 수집되었습니다. 이번에는 사용자의 로그인 비밀번호를 'Manage Passwords…'버튼에 입력하였습습니다. 아래에서 login.keychain-db 파일에서 BlackLight가 구문 분석 한 데이터를 볼 수 있습니다. 입력한 비밀번호가 키 체인을 열었고 6 개의 디스크 이미지 모두에 대한 비밀번호가 표시됩니다.







고려할 사항


키 체인은 초기 증거 수집 중에 만 처리된다는 것을 기억하는 것이 중요합니다. 비밀번호를 입력하지 않거나 올바른 비밀번호를 입력하지 않으면 잠긴 키 체인에 저장된 값이 구문 분석되지 않습니다.


(*CK 팁 : 최초 이미지 추출 시 비밀번호를 입력하지 않고 수집한 데이터는 추후 비밀번호를 알아도 수집 대상 기기 없이는 추가 구문 분석을 할 수 없다는 것을 말합니다.)


사용자의 로그인 암호를 모르는 경우 'Actionable Intel'의 다른 영역에 도움이 될 단서가 있을 수 있습니다. 예를 들어, 사용자 계정이 자동 로그인으로 설정되어 있으면 'Actionable Intel'의 'Account Usage'의 'User Accounts'하위보기에서 암호가 구문 분석됩니다.




macOS의 시스템 키 체인은 잠겨 있지 않으며 Wi-Fi 네트워크 및 Time Machine 암호를 가지고 있을 수 있습니다. 많은 사람들이 같은 암호를 재 사용하는 경우가 많으므로 시스템 키 체인에 저장된 값으로 암호 목록을 작성해 보는 것을 추천합니다.




분석 중에 데이터가 발견되면 초기 처리 중에 잠금 해제 되지 않은 키 체인의 잠금을 해제하려고 할 수 있습니다. 이를 위한 몇 가지 옵션이 있습니다.


또 다른 옵션은 새 CASE 파일을 작성하고 Triage 레벨 처리 옵션 (실행하는 데 가장 적은 시간이 소요되는 방법) 만 선택하고 'Manage Passwords...'에 찾은 비밀번호를 입력 한 후 증거를 재 처리하는 것입니다.


다른 옵션은 BlackLight 파일 필터 를 사용하여 키 체인이 포함 된 확장자를 가진 파일의 증거를 필터링 하는 것입니다. .keychain 및 .keychain 파일이 모두 반환 됩니다. 모든 파일을 선택하고 논리 증거 파일 (.L01)로 내 보냅니다.



그런 다음 전체 이미지 파일 대신 논리 증거 파일을 처리 할 수 ​​있습니다. 이 접근 방식은 다른 암호 목록으로 키 체인의 잠금을 여러 번 시도하면 시간이 절약됩니다. BlackLight에 대해 자세히 알아 보거나 견적을 요청하거나 무료 평가판을 받으려면 여기를 클릭하십시오 .

조회수 11회댓글 0개