네트워크 포렌식

네트워크 포렌식은 정보 수집, 법적 증거 또는 침입 ^[1]탐지를 목적으로 컴퓨터 네트워크 트래픽 모니터링 및 분석과 관련된 디지털 포렌식 하위 분야입니다.다른 디지털 포렌식 분야와 달리 네트워크 조사는 휘발성 및 동적 정보를 처리합니다.네트워크 트래픽은 송신되고 나서 없어지기 때문에, 네트워크 포렌식은, 많은 경우, 프로 액티브한 ^[2]조사입니다.

네트워크 포렌식에는 일반적으로 두 가지 용도가 있습니다.첫 번째는 보안에 관한 것으로, 네트워크의 비정상적인 트래픽의 감시와 침입의 특정이 포함됩니다.공격자는 손상된 호스트의 모든 로그 파일을 지울 수 있습니다. 따라서 네트워크 기반 증거가 법의학적 ^[3]분석에 사용할 수 있는 유일한 증거일 수 있습니다.두 번째 양식은 법 집행과 관련이 있다.이 경우 캡처된 네트워크 트래픽 분석에는 전송된 파일 재구성, 키워드 검색 및 이메일이나 채팅 세션 등의 인간 통신 구문 분석 등의 작업이 포함될 수 있습니다.

네트워크 데이터 수집에는 일반적으로 두 가지 시스템이 사용됩니다. 즉, "가능한 한 빨리 캐치하기"와 보다 인텔리전트한 "스톱 룩 리스닝" 방식입니다.

개요

네트워크 포렌식은 비교적 새로운 법의학 분야입니다.가정에서 인터넷의 인기가 높아짐에 따라 컴퓨팅이 네트워크 중심화되었고 이제 디스크 기반 디지털 증거 외에도 데이터를 사용할 수 있게 되었습니다.네트워크 포렌식은 독립형 조사 또는 컴퓨터 포렌식 분석과 함께 수행할 수 있습니다(디지털 장치 간의 연결을 밝히거나 범죄가 ^[2]발생한 방법을 재구성하는 데 자주 사용됩니다).

Marcus Ranum은 네트워크 포렌식스를 "보안 공격 또는 기타 문제의 원인을 검출하기 위한 네트워크 이벤트의 캡처, 기록 및 분석"^[4]으로 정의한 것으로 알려져 있습니다.

일반적으로 디스크에 증거가 보존되는 컴퓨터 포렌식(forensic)에 비해 네트워크 데이터는 휘발성이 높고 예측할 수 없습니다.조사자는 대부분의 경우 패킷필터, 방화벽 및 침입검출시스템이 보안 ^[2]침해를 예측하기 위해 설정되어 있는지 여부를 조사할 자료만 가지고 있습니다.

포렌식용으로 네트워크 데이터를 수집하기 위해 사용되는 시스템은 일반적으로 다음 ^[5]두 가지 형태가 있습니다.

"Catch-It-as-you-can" – 특정 트래픽포인트를 통과하는 모든 패킷이 캡처되어 스토리지에 기입되어 이후 배치모드로 분석이 실행됩니다.이 방법에는 대량의 스토리지가 필요합니다.
"Stop, Look and Listen" (스톱, 룩 앤 리스닝) – 각 패킷은 메모리에서 기본적인 방법으로 분석되며 향후 분석을 위해 특정 정보만 저장됩니다.이 어프로치에서는, 착신 트래픽에 대응하려면 , 보다 고속의 프로세서가 필요합니다.

종류들

이더넷

Wireshark: 네트워크 트래픽 모니터링 및 기록에 사용되는 일반적인 도구

이 계층의 모든 데이터를 적용하며 사용자가 다른 이벤트를 필터링할 수 있습니다.이러한 도구를 사용하면 웹 사이트 페이지, 전자 메일 첨부 파일 및 기타 네트워크 트래픽을 암호화되지 않고 전송 또는 수신한 경우에만 재구성할 수 있습니다.이 데이터를 수집하면 호스트에 직접 연결된다는 장점이 있습니다.예를 들어 특정 시각에 호스트의 IP 주소나 MAC 주소를 알고 있는 경우, 이 IP 주소 또는 MAC 주소로 송수신 되는 모든 데이터를 필터링 할 수 있습니다.

IP 주소와 MAC 주소 간의 연결을 설정하려면 보조 네트워크 프로토콜을 자세히 살펴보는 것이 유용합니다.Address Resolution Protocol(ARP) 테이블에는 MAC 주소와 대응하는 IP 주소가 나열됩니다.

이 레이어에 관한 데이터를 수집하기 위해서, 호스트의 네트워크 인터페이스 카드(NIC)를 「무차별 모드」로 할 수 있습니다.이렇게 하면 호스트를 위한 트래픽뿐만 아니라 모든 트래픽이 CPU로 전달됩니다.

단, 침입자 또는 공격자가 자신의 접속이 도청되었을 가능성이 있음을 알고 있는 경우 암호화를 사용하여 접속을 보호할 수 있습니다.오늘날에는 암호화를 해제하는 것이 거의 불가능하지만 다른 호스트에 대한 용의자의 연결이 항상 암호화되어 있다는 것은 다른 호스트가 용의자의 공범임을 나타낼 수 있습니다.

TCP/IP

네트워크 계층에서 인터넷 프로토콜(IP)은 네트워크 전체의 라우터에 의해 해석될 수 있는 소스 및 대상 정보를 추가하여 네트워크(예를 들어 인터넷)를 통해 TCP에 의해 생성된 패킷을 지시하는 역할을 합니다.GPRS와 같은 셀룰러 디지털 패킷 네트워크는 IP와 같은 유사한 프로토콜을 사용하기 때문에 IP에 대해 기술된 방식도 그들과 함께 작동합니다.

올바른 루팅을 실시하려면 , 모든 중간 라우터에, 다음에 패킷을 송신하는 장소를 알기 위한 라우팅 테이블이 필요합니다.이러한 라우팅 테이블은 디지털 범죄를 조사하여 공격자를 추적하는 경우에 가장 적합한 정보원 중 하나입니다.그러기 위해서는, 공격자의 패킷을 추적해 송신 루트를 반대로 해, 패킷이 송신된 컴퓨터(즉, 공격자)를 찾아낼 필요가 있습니다.

암호화된 트래픽 분석

인터넷에서 TLS 암호화가 확산되는 것을 감안하면 2021년 4월 현재 전체 악성 프로그램의 절반이 ^[6]탐지를 회피하기 위해 TLS를 사용하는 것으로 추정됩니다.암호화된 트래픽 분석은 트래픽을 검사하여 TLS 특성(일반적으로 일반적이지 않은 네트워크 또는 서버)^[7]의 의심스러운 조합을 탐지하여 멀웨어 및 기타 위협으로부터 오는 암호화된 트래픽을 식별합니다.암호화된 트래픽 분석에 대한 또 다른 접근법은 생성된 지문 데이터베이스를 사용하는데, 이러한 기술은 해커에 의해^[8]^[9] 쉽게 무시되고 부정확하다는 비판을 받고 있습니다.

인터넷

인터넷은 웹 브라우징, 이메일, 뉴스 그룹, 동기 채팅, 피어 투 피어 트래픽 등 디지털 증거의 풍부한 원천이 될 수 있습니다.예를 들어, 웹 서버 로그를 사용하여 용의자가 범죄 활동과 관련된 정보에 액세스한 경우 또는 그 여부를 표시할 수 있습니다.이메일 계정에는 유용한 증거가 포함되어 있는 경우가 많습니다.그러나 이메일 헤더는 쉽게 위조되기 때문에 네트워크 포렌식 정보를 사용하여 유죄를 입증할 수 있습니다.네트워크 포렌식은 네트워크 트래픽에서 사용자 계정 정보를 추출하여 특정 컴퓨터를^[10] 사용하는 사용자를 찾기 위해 사용할 수도 있습니다.

무선 포렌식

무선 포렌식은 네트워크 포렌식 하위 분야입니다.무선 포렌식스의 주된 목적은 법정에서 유효한 디지털 증거로 제시될 수 있는 네트워크트래픽의 수집과 분석에 필요한 방법론과 툴을 제공하는 것입니다.수집된 증거는 플레인 데이터에 대응하거나 Voice-over-IP(VoIP) 테크놀로지의 광범위한 사용, 특히 무선에 의한 음성 대화를 포함할 수 있습니다.

무선 네트워크트래픽의 분석은 유선 네트워크에서의 분석과 비슷하지만 무선 보안 대책의 추가 고려사항이 있을 수 있습니다.

레퍼런스

^ Gary Palmer, 디지털 포렌식 리서치를 위한 로드맵, 2001년 DFRWS 보고서, 뉴욕 Utica, 제1회 디지털 포렌식 리서치 워크숍, 2001년 8월 7일~8일, 페이지 27~30
^ ^a ^b ^c Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4.
^ Erik Hjelmvik, NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer를 사용한 패시브 네트워크 보안 분석, Wayback Machine에서 2012-02-23 아카이브 완료
^ Marcus Ranum, 네트워크 플라이트 레코더, http://www.ranum.com
^ Simson Garfinkel, 네트워크 포렌식스:인터넷 탭 http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
^ Gallagher, Sean (2021-04-21). "Nearly half of malware now use TLS to conceal communications". Sophos News. Retrieved 2021-04-29.
^ Encrypted Traffic Analysis (Part 1): Detect, Don't Decrypt, archived from the original on 2021-12-20, retrieved 2021-04-29
^ Rinaldi, Matthew (2020-11-03). "Impersonating JA3 Fingerprints". Medium. Retrieved 2021-04-29.
^ "JA3/S Signatures and How to Avoid Them". BC Security. 2020-04-16. Retrieved 2021-04-29.
^ "Facebook, SSL 및 네트워크 포렌식", NETRESEC 네트워크 보안 블로그, 2011

외부 링크

[1] Gary Palmer, 디지털 포렌식 리서치를 위한 로드맵, 2001년 DFRWS 보고서, 뉴욕 Utica, 제1회 디지털 포렌식 리서치 워크숍, 2001년 8월 7일~8일, 페이지 27~30

[casey-2] Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4.

[3] Erik Hjelmvik, NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer를 사용한 패시브 네트워크 보안 분석, Wayback Machine에서 2012-02-23 아카이브 완료

[4] Marcus Ranum, 네트워크 플라이트 레코더, http://www.ranum.com

[5] Simson Garfinkel, 네트워크 포렌식스:인터넷 탭 http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] Gallagher, Sean (2021-04-21). "Nearly half of malware now use TLS to conceal communications". Sophos News. Retrieved 2021-04-29.

[7] Encrypted Traffic Analysis (Part 1): Detect, Don't Decrypt, archived from the original on 2021-12-20, retrieved 2021-04-29

[8] Rinaldi, Matthew (2020-11-03). "Impersonating JA3 Fingerprints". Medium. Retrieved 2021-04-29.

[9] "JA3/S Signatures and How to Avoid Them". BC Security. 2020-04-16. Retrieved 2021-04-29.

[10] "Facebook, SSL 및 네트워크 포렌식", NETRESEC 네트워크 보안 블로그, 2011

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

v t 디지털 포렌식
나뭇가지	컴퓨터 포렌식 모바일 디바이스 포렌식 네트워크 포렌식 데이터베이스 포렌식
하드웨어	포렌식 디스크 컨트롤러
소프트웨어	ADF 솔루션 디지털 증거 조사관 EnCase 맨 앞 FTK PTK 포렌식 슬루트 키트 검시 도구 키트 코피 해시 키퍼 엑스플리코
인정.	CFCE(Certified Forensic Computer Inspirator) 글로벌 정보 보증 인정
과정	디지털 포렌식 프로세스 data 취득 디지털 증거 전자 정보 공개 안티컴퓨터 포렌식
조직	국립 소프트웨어 참조 라이브러리 국방부 사이버 범죄 센터 미국 첨단범죄수사대(NHTCU) 호주 첨단 범죄 센터(AHTCC)
사람	메리 에이켄 애니 앤톤 레베카 베이스 조시 브런티 어건 케이시 하니 파리드 심슨 가핑클 클리포드 스톨 로버트 자이드먼
디지털 포렌식 용어집

Search