Skip to main content
QUICK REVIEW

[논문 리뷰] Forensic Science International: Digital Investigation

Simon Davies, Richard Macfarlane|arXiv (Cornell University)|2020. 12. 15.
Advanced Malware Detection Techniques인용 수 89
한 줄 요약

이 논문은 NotPetya, Bad Rabbit, 그리고 Phobos 랜섬웨어에서 사용하는 대칭 암호화 키를 감염 중인 라이브 메모리에서 추출할 수 있음을 입증하며, 이를 통해 파일 복호화가 성공적으로 이루어질 수 있음을 보여준다. 키 존재 시점에 대한 상세한 타임라인을 구축하고 라이브 포렌식 분석을 수행함으로써, 이 연구는 메모리 포렌식이 랜섬웨어 완화 및 복구를 위한 실현 가능한 길임을 증명한다.

ABSTRACT

Memory was captured from a system infected by ransomware and its contents was examined using live forensic tools, with the intent of identifying the symmetric encryption keys being used. NotPetya, Bad Rabbit and Phobos hybrid ransomware samples were tested during the investigation. If keys were discovered, the following two steps were also performed. Firstly, a timeline was manually created by combining data from multiple sources to illustrate the ransomware's behaviour as well as showing when the encryption keys were present in memory and how long they remained there. Secondly, an attempt was made to decrypt the files encrypted by the ransomware using the found keys. In all cases, the investigation was able to confirm that it was possible to identify the encryption keys used. A description of how these found keys were then used to successfully decrypt files that had been encrypted during the execution of the ransomware is also given. The resulting generated timelines provided a excellent way to visualise the behaviour of the ransomware and the encryption key management practices it employed, and from a forensic investigation and possible mitigation point of view, when the encryption keys are in memory.

연구 동기 및 목표

  • 현대형 랜섬웨어 가족이 사용하는 대칭 암호화 키가 활성 감염 중 시스템 메모리에서 식별될 수 있는지 조사하기 위해.
  • 여러 포렌식 소스의 데이터를 연계하여 랜섬웨어 활동의 순서를 매핑하고, 특히 메모리 내 암호화 키의 존재 및 지속 시간을 중점적으로 분석함으로써 랜섬웨어 행동의 타임라인을 수립하기 위해.
  • 라이브 메모리 분 析를 통해 발견된 키를 사용하여 랜섬웨어에 의해 암호화된 파일을 복호화하는 것이 가능한지 타당성 평가하기 위해.
  • 사건 대응 및 데이터 복구를 지원하기 위해 일시적인 암호화 키를 식별하고 활용할 수 있는 포렌식 방법론을 제공하기 위해.

제안 방법

  • NotPetya, Bad Rabbit, 그리고 Phobos 랜섬웨어 샘플에 감염된 시스템에서 라이브 메모리 확보를 수행하였다.
  • 확보된 메모리 이미지를 분석하기 위해 라이브 포렌식 도구를 사용하여 대칭 암호화 키를 탐색하였다.
  • 여러 포렌식 소스의 데이터를 통합하여 수작업으로 타임라인을 구축함으로써 랜섬웨어 활동의 순서를 매핑하였다.
  • 특히 암호화 키가 메모리에 나타난 시점과 그 존재 지속 기간을 추적하였다.
  • 추출된 키를 사용하여 복호화 시도를 수행함으로써 키의 정확성과 유용성을 검증하였다.
  • 키 상태가 오버라이트되거나 제거되기 전에 일시적인 상태를 캡처할 수 있도록 실시간 분 析을 강조하였다.

실험 결과

연구 질문

  • RQ1현대형 랜섬웨어에서 사용하는 대칭 암호화 키를 라이브 시스템 메모리에서 신뢰성 있게 추출할 수 있는가?
  • RQ2암호화 프로세스 시작 후 랜섬웨어 암호화 키가 메모리에 얼마나 오랫동안 존재하는가?
  • RQ3키 존재 및 행동의 타임라인을 재구성하여 랜섬웨어 운영 및 키 관리 방식을 이해할 수 있는가?
  • RQ4추출된 키를 사용하여 랜섬웨어에 의해 암호화된 파일을 성공적으로 복호화하는 것이 가능한가?

주요 결과

  • 이 연구는 NotPetya, Bad Rabbit, 그리고 Phobos 랜섬웨어에서 사용하는 대칭 암호화 키가 라이브 메모리에서 성공적으로 식별될 수 있음을 확인하였다.
  • 암호화 키는 측정 가능한 기간 동안 메모리에 남아 있어 포렌식 확보 및 복구를 위한 창을 제공하였다.
  • 생성된 타임라인은 랜섬웨어의 행동과 키 수명 주기의 효과적인 시각화를 가능하게 하여 포렌식 분석에 기여하였다.
  • 메모리에서 추출한 키를 사용하여 암호화된 파일의 복호화가 성공적으로 이루어졌으며, 실용적인 복구 가능성을 입증하였다.
  • 결과적으로, 라이브 메모리 포렌식은 랜섬웨어 완화 및 데이터 복원을 위한 실현 가능한 방법임을 보여주었다.
  • 이 접근법은 랜섬웨어 지불 없이도 데이터 복구를 지원할 수 있는 실질적인 포렌식 경로를 사고 대응자들에게 제공한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.