Product Features
AXIOM + GrayKey

GrayKey 이미지를 Magnet AXIOM에 로드하기

지난 몇 년 동안 대부분의 iOS 기기의 포렌식 수사는 사용자의 비밀번호를 아는 경우에만 혹은 iTunes 백업에 있는 데이터만 조사할 수 있었습니다. 물론, 이상한 탈옥을 한 iOS 기기라면 조사가 가능하겠지만, 일반적인 iOS 기기라면 1만 달러의 상업용 포렌식 도구를 사용하든 Magnet ACQUIRE와 같은 무료 수집 도구를 사용하든 같은 결과인 iTunes 백업 / 논리적 파일 정도만 수집이 가능했습니다. 사용자의 비밀번호를 모르면, 수집 가능한 데이터가 아무것도 없는 것과 마찬가지이기 때문에 백업 자료라도 있으면 없는 것보다는 좋습니다.

수사 기관이 사용자의 비밀번호를 해독하여 데이터 보호 지연을 우회하고 iOS 기기에 있는 전체 파일 시스템에 대해 액세스할 수 있도록 하는 도구인 GrayKey의 제작 회사인 Grayshift를 소개합니다. 이 프로그램을 통해 비밀번호를 몰라서 액세스할 수 없었던 기기에 액세스할 수 있을 뿐만 아니라 논리적 수집을 통해 수집할 수 있는 데이터가 한정적이라 수년 동안 사용할 수 없었던 iOS 데이터에 액세스할 수 있게 되었습니다. GrayKey를 사용하기 전에는 조사가 불가능했던 데이터를 찾아내기도 했습니다.

많이 알려져 있듯이 GrayKey는 수집 전용 도구입니다. 즉, 조사관이 iOS 기기에서 발견한 정보를 추출할 수는 있지만, 분석 기능은 지원하지는 않습니다. GrayKey 추출을 통해 수집된 데이터는 다양한 zip 파일 (BFU, AFU, Full Files, mem 및 keychain.plist)로 출력됩니다. 그런 다음 Magnet AXIOM을 통해 이러한 파일을 분석할 수 있습니다.

iOS 기기 수사를 진행할 때 수사관에게 가장 이상적인 GrayKey 이미지는 files.zip 형식입니다. 전체 iOS 파일 시스템이 포함되어 조사관이 수사 중에 활용할 수 있는 최대 정보를 제공합니다. 다른 이미지 유형도 포렌식 조사에 사용이 가능하지만, 가능하다면 files.zip 이미지를 먼저 수사하는 것이 좋습니다.

GrayKey는 기기 추출 시 passwords.txt 목록과 HTML 보고서도 생성합니다. passwords.txt 목록은 조사관이 살펴보기에는 좋지만, 분석을 위해 passwords.txt 파일이 아닌 keychain.plist를 AXIOM에 로드해야 합니다.

주의: 사용자의 비밀번호를 알아도 GrayKey를 사용해서 데이터를 추출하면 조사에 활용 가능한 데이터를 최대한 많이 확보할 수 있습니다.

다음 파일은 mem.zip입니다. 이것은 iOS 기기의 프로세스 메모리 덤프 파일입니다. Grayshift 기술이 상용화되기 전에는 조사관이 일상 분석을 위해 iOS 기기의 프로세스 메모리를 수집하지 않았습니다. 안드로이드에서 메모리 수집이 가능하긴 하지만 결국 휴대폰을 재시작해야 해서 조사에 필요한 중요한 정보가 사라지기 때문입니다. iOS 프로세스 메모리에는 중요한 정보가 포함되어 있으므로 Grayshift 기술을 이용해서 수집하고 AXIOM에 로드하고 조사를 진행할 수 있습니다.

마지막 파일은 keychain.plist입니다. 대부분의 조사관은 iOS 키체인에 대해 알고 있습니다. iOS 키체인에는 사용자가 저장했거나 사용한 대부분 앱의 사용자 계정, 비밀번호 및 키가 포함되어 있습니다. 따라서 이는 클라우드 소스 또는 기타 소스를 인증하기 원하는 조사자에게도 유용할 수 있습니다. GrayKey가 생성하는 키체인은 iTunes 백업에서 수집하거나 탈옥한 기기에서 수집할 수 있는 정보와는 약간 다릅니다. 파일 시스템에서 발견된 키 체인은 실제로 SQLite 데이터베이스이며 이전에는 수집 제한으로 항상 이용할 수 없던 정보입니다. iTunes 백업의 키체인도 .plist 파일이지만 형식이 다르기 때문에 AXIOM의 GrayKey keychain.plist 파일을 지원하는 기능을 따로 추가했습니다.

iOS 조사 수집 단계에서 GrayKey를 활용하여 다양한 데이터를 조사관이 수집하는 것에 집중했습니다. 이제는 Magnet AXIOM을 사용해서 이 데이터를 분석해 보겠습니다.

GrayKey 증거를 AXIOM에 로드하기

최근에 증거 수집한 iOS 기기를 AXIOM에 로드하는 방법에는 여러 가지가 있습니다. 여러 방법을 시도하고 조사에 적합한 방법을 선택합니다.

먼저, 수집한 files.zip 파일을 로드하는 대신 다음에서 keychain.plist를 다음을 통해 로드합니다.

AXIOM을 사용하면 분석 시작 전 여러 증거 데이터를 함께 로드해서 분석을 시행할 수 있습니다. 그 덕분에 시간을 훨씬 절약할 수 있습니다. keychain.plist가 있는 iOS 기기를 조사할 때 조사관이 AXIOM Examine의 사례 데시보드로 이동하고 “증거 추가”를 클릭하기 전에 키체인만 처리하고 해당 증거의 데이터만 검토하는 것이 더 효율적입니다. 왜 그럴까요? 좋은 질문입니다! 조사관이 keychain.plist를 우선 검토하면 의심스러운 기기의 앱에 대해 잘 파악할 수 있습니다. 그리고 처리 중 files.zip 파일을 AXIOM에 로드할 때 SnapChat, WickrMe 또는 iOS Notes와 같은 암호화된 앱의  예상 비밀번호와 키 값을 제공할 수 있습니다. 따라서 AXIOM은 처리 중에 증거를 다시 처리할 필요없이 조사 과정에서 분석할 수 있도록 이러한 데이터를 암호 해독할 수 있습니다. 아래에서 확인할 수 있듯이 키체인에서 AXIOM으로 정보를 복사할 때 조사관이 참조할 수 있도록 처리 중에 암호 해독 가능한 앱의 경우 아티팩트 선택 범주 내에 정보를 추가했습니다.

다음으로 추가적인 GrayKey 증거 파일을 AXIOM에 로드하는 방법을 살펴보겠습니다.

GrayKey 이미지를 AXIOM에 로드하려면 다른 iOS 이미지와 같은 경로를 따라 모바일 -> iOS -> 증거 로드 -> 이미지로 이동한 다음 files.zip 파일을 선택합니다. 다음으로 동일한 방식으로 mem.zip 파일을 로드합니다.

files.zip에서 로드할 때 파일 및 폴더 대신 “이미지”를 선택했는지 확인하는 것이 중요합니다. 이 방법으로 AXIOM을 이용해서 이미지의 데이터를 최대로 분석/카빙할 수 있습니다.

온라인 GrayKey를 이용하는 에이전시의 경우 AXIOM에 수집한 데이터를 로드할 때 추가 옵션이 있습니다. Magnet과 Grayshift의 독점 파트너십과 함께, 조사관이 네트워크 연결 네트워크를 통해 AXIOM을 GrayKey에 바로 연결할 수 있도록 하는 직접 연결 방법을 제공합니다. 이 직접 연결 방법은 분석 소프트웨어로 사례 분석을 시작하기 전에 브라우저를 통해 GrayKey에서 이미지를 다운로드하는 기존 방법보다 몇 가지 장점이 있습니다. 직접 연결 방법의 첫 번째 장점은 속도입니다. 이 기능을 사용하면 전체 조사에 필요한 단계가 줄어들고, 수집해야 하는 iOS 기기의 수가 상당할 때 특히 시간을 많이 절약할 수 있습니다. 둘째, AXIOM은 수사용으로 수집 및 처리된 GrayKey 이미지를 저장할 위치를 묻는 메시지를 표시합니다. 이 프로세스의 일부로 수집 중인 파일도 자동으로 해싱하기 때문에 GrayKey GUI에서 해시값이 일치하는지 신속하게 확인할 수 있습니다. GrayKey 이미지를 분석 도구에 로드했을 때 “꺼진” 것처럼 보이거나 이미지를 로드할 수 없다고 나타난 경험이 있는 조사관들이 많았습니다. 이는 아마도  브라우저가 다운로드 크기를 제한하거나 이미지 파일을 다운로드하는 동안 패킷이 폐기되기 때문입니다.

직접 연결 방법을 통해 증거를 로드하려면, 사용자는 모바일-> iOS-> GrayKey에 연결로 이동합니다. 연결되면 조사관은 GrayKey에 저장된 사용 가능한 데이터를 검색하여 AXIOM으로 수집 및 처리하려는 다른 증거 파일을 선택할 수 있습니다.

일단 로드되면 할당된 조사를 위해 AXIOM에 포함할 옵션과 아티팩트를 선택할 수 있습니다. 아티팩트에 포함되지 않는 추가 데이터 수집에 도움이 되는 기능 중 하나는 DAF (동적 앱 찾기)입니다.

Find more artifacts

“더 많은 아티팩트 찾기”에서 동접 앱 찾기를 활성화 할 수 있으며 잠재적인 채팅, 위치 정보 또는 연락처 정보를 포함할 수 있는 SQLite 데이터베이스에 대한 이미지를 통해 자동으로 검색합니다. 이는 기존 아티팩트에서 검색이 불가능한 모든 애플리케이션 또는 데이터에 유용하게 사용할 수 있습니다. 동적 앱 찾기에 대한 빠른 비디오 소개는 여기에서 확인하실 수 있습니다. GrayKey 이미지의 경우, 파일 시스템 및 메모리 이미지의 추가 데이터를 식별합니다. 여기에서 맞춤형 아티팩트 생성과 아티팩트 교환에 대한 자세한 내용을 확인하실 수 있습니다.

모든 파일을 로드하고 옵션을 선택하고 나면 다른 사례와 동일한 방법으로 처리하고 AXIOM Examine에서 결과를 확인할 수 있습니다.

최대한 자세한 iOS 조사를 위해 GrayKey와 AXIOM을 함께 사용하는 방법을 알고 싶으신가요? MAGaK (Magnet AXIOM 및 GrayKey) 첨단 iOS 조사 (AX301) 코스를 확인해보세요!

Related Resources

Blog

Blog

Griffeye products now a part of the Magnet Forensics product suite

Following the announcement that Griffeye would become part of Magnet Forensics, we are thrilled to announce that Griffeye is now fully integrated into the Magnet Forensics family. 

April 12, 2024 • About a 2 minute view
Blog

Blog

Magnet Axiom Cyber 7.10: AWS Sign-in improvements & animated maps

The latest release of Magnet AXIOM Cyber is here, and we’re excited to share new features for analysis and cloud acquisitions.

February 29, 2024 • About a 2 minute view
Blog

Blog

Reviewing email evidence with Email Explorer in Magnet Axiom and Axiom Cyber

With the continued prominence of email in corporate settings, we’re thrilled to unveil a highly anticipated feature to AXIOM Cyber: Email Explorer.

February 29, 2024 • About a 4 minute view
Resource Center Home

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Start modernizing your digital investigations today.

Top