Date post: | 18-Jan-2017 |
Category: |
Technology |
Upload: | insight-forensic |
View: | 45 times |
Download: | 7 times |
FORENSIC INSIGHT;DIGITAL FORENSICS COMMUNITY IN KOREA
The Stealing Windows Password
blueangel
forensic-note.blogspot.kr
Junghoon Oh
forensicinsight.org Page 2
Index
1. Introduction
2. Password Hash Dump in Registry
3. Password Hash Dump in NTDS.DIT
4. Password History Dump
5. LSA Secret Dump in Registry
6. Cached Domain Logon Information Dump in Registry
7. Password Hash Dump in Logon Session
8. Network service authentication credentials Dump
9. The Forensic Artifacts
10. Conclusion
forensicinsight.org Page 3
Introduction
forensicinsight.org Page 4
Introduction
์ถ์ฒ : Dump Windows password hashes efficiently โ Part 1 ~ 6
โข Bernardo Damele A. G. โs Blog( http://bernardodamele.blogspot.kr )
forensicinsight.org Page 5
Password Hash Dump in Registry
forensicinsight.org Page 6
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข ์ปดํจํฐ ์ฌ๋ถํ ํ, USB ๋ Live CD๋ก ๋ถํ ํ์ฌ SAM ํ์ผ ์์ง
SAM ํ์ผ์ ์ ๊ทผํ์ฌ Hash ๊ฐ์ ๊ฐ์ ธ์ค๋ ๋๊ตฌ ์ฌ์ฉ
โข bkhive : dumps the syskey(bootkey) from a Windows system hive.
โข smdump2 : dumps Windows 2k/NT/XP/Vista password hashes.
SAM ํ์ผ ์์ง ํ, Can & Abel, creddump, mimikatz ๋๊ตฌ๋ฅผ ํตํด ์คํ๋ผ์ธ ๊ณต๊ฒฉ
forensicinsight.org Page 7
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข Logon Prompt ์ฐํ ํ, ํ์ผ ์์ง
BootRoot( http://www.eeye.com/Resources/Security-Center/Research/Tools/BootRoot )
โข ์ปค์คํ ๋ถํธ ์นํฐ ์ฝ๋๋ฅผ ํตํด ์ปค๋์ด ๋ก๋ฉ๋ ๋ ์์ ํ์ฌ ๋ก๊ทธ์ธ ํ๋กฌํํธ ์ฐํ
SysRQ2( http://www.eeye.com/Resources/Security-Center/Research/Tools/SysRQ2 )
โข Bootable CD
โข SYSTEM ๊ถํ์ ์ปค๋งจ๋ ํ๋กฌํํธ ์ ๊ณต
Kon-Boot( http://www.piotrbania.com/all/kon-boot/ )
โข ์์ฉ ์ํํธ์จ์ด, CD๋ USB์ ์ค์นํจ
โข ๋ถํ ์ค์ ๋ฆฌ๋ ์ค or ์๋์ฐ์ฆ ์ปค๋์ ์์ ํ์ฌ ํจ์ค์๋๋ฅผ ์ ๋ ฅํ์ง ์์๋(์๋ฌด๊ฑฐ๋ ์ณ๋) ๊ด๋ฆฌ์
๊ถํ์ผ๋ก ๋ก๊ทธ์ธํ ์ ์๊ฒ ํจ
forensicinsight.org Page 8
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข Password ์ด๊ธฐํ ํ, ํ์ผ ์์ง
Bootable CD or USB
โข bootdisk ( http://pogostick.net/~pnh/ntpasswd/bootdisk.html )
โข chntpw ( http://pogostick.net/~pnh/ntpasswd/walkthrough.html )
โข ๋ฐฑ์ ๋๊ตฌ๋ฅผ ํตํ ํ์ผ ์์ง
Ntbackup( http://technet.microsoft.com/en-us/library/bb490952.aspx )
โข MS-DOS subsystem ์ ์ ํธ๋ฆฌํฐ
โข ์์คํ ์ํ๋ฅผ ๋ฐฑ์ ํ์ฌ ํ์ผ๋ก ์ ์ฅ
โข ๋ฐฑ์ ๋ ํ์ผ์ ๋ค์ ์์คํ ์ ๋ณต๊ตฌํ ์ ์์
โข Windows XP ์์ ์ง์๋จ
Wbadmin( http://technet.microsoft.com/en-us/library/cc754015%28v=ws.10%29.aspx )
โข Windows Vistat ๋ถํฐ ์ง์
โข Ntbackup ๋์ฒด
forensicinsight.org Page 9
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข ๋ฐฑ์ ๋๊ตฌ๋ฅผ ํตํ ํ์ผ ์์ง(๊ณ์)
Wbadmin( http://technet.microsoft.com/en-us/library/cc754015%28v=ws.10%29.aspx )
โข Windows Vistat ๋ถํฐ ์ง์
โข Ntbackup ๋์ฒด
regback( http://technet.microsoft.com/en-us/library/cc758453(WS.10).aspx )
โข Windows 2000 Resource Kit Tools ์ ํฌํจ๋จ
โข ๋ ์ง์คํธ๋ฆฌ ๋ฐฑ์ ์ง์
โข Windows 2000 ๊น์ง ์ง์๋จ
forensicinsight.org Page 10
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข ๋ฐฑ์ ๋๊ตฌ๋ฅผ ํตํ ํ์ผ ์์ง(๊ณ์)
reg( http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-
us/reg.mspx?mfr=true )
regedit( http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-
us/tools_regeditors.mspx?mfr=true )
forensicinsight.org Page 11
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข ๋ฐฑ์ ๋๋ ํฐ๋ฆฌ์์ ํ์ผ ์์ง
Win XP ํ๊ฒฝ์์์ ๋ ์ง์คํธ๋ฆฌ ์๋ ๋ฐฑ์ ๊ฒฝ๋ก( C:\Windows\repair )
C:\Windows\System32\config ์๋ ํ์ผ์ ๋ฐฑ์ ํจ
forensicinsight.org Page 12
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข Volume Shadow Copy ๊ธฐ์ ์ ํตํ ํ์ผ ์์ง
Volume Shadow Copy ์ ๋ฐฑ์ ๊ธฐ๋ฅ์ ํตํด SAM, SYSTEM ๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
vssown ์คํฌ๋ฆฝํธ ์ฌ์ฉ ( http://ptscripts.googlecode.com/svn/trunk/windows/vssown.vbs )
์ํ ๊ณผ์
1. VSS(Volume Shadow Service) ์ํ ํ์ธ, ์๋น์ค๊ฐ ์คํ ์ค์ด์ง ์๋ค๋ฉด ์คํํจ
2. ์๋ก์ด VSC ์์ฑ
forensicinsight.org Page 13
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข Volume Shadow Copy ๊ธฐ์ ์ ํตํ ํ์ผ ์์ง(๊ณ์)
์ํ ๊ณผ์ (๊ณ์)
3. ์์ฑํ VSC์ ID, Device Object ๊ฐ ํ์ธ
forensicinsight.org Page 14
Password Hash Dump in Registry
๋ ์ง์คํธ๋ฆฌ ํ์ผ ์์ง
โข Volume Shadow Copy ๊ธฐ์ ์ ํตํ ํ์ผ ์์ง(๊ณ์)
์ํ ๊ณผ์ (๊ณ์)
4. ์์ฑํ VSC ์ Device Object ๊ฐ์ ํตํด SAM, SYSTEM ๋ ์ง์คํธ๋ฆฌ ํ์ผ ๋ณต์ฌ
5. ์์ฑํ VSC ์ ID ๊ฐ์ ํตํด VSC ์ญ์
forensicinsight.org Page 15
Password Hash Dump in Registry
Hash ์์ง ๋๊ตฌ ์ฌ์ฉ
โข pwdump7( http://www.tarasco.org/security/pwdump_7/index.html )
32/64bit ๋ฐ ๋ชจ๋ OS ๋ฒ์ ์ง์
์์ง๋ ํ์ผ ํน์ ํ์ผ ์์คํ ์ ํตํด SAM, SYSTEM ๋ ์ง์คํธ๋ฆฌ ํ์ผ์ ์ง์ ์ ๊ทผํ์ฌ Hash ์ถ์ถ
โข gsecdump( http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5 )
32/64bit ๋ฐ ๋ชจ๋ OS ๋ฒ์ ์ง์
ํ์ผ, ๋ฉ๋ชจ๋ฆฌ ์ถ์ถ ๋ชจ๋ ์ง์
โข PWDumpX( http://packetstormsecurity.com/files/62371/PWDumpX14.zip )
32bit ๋ง ์ง์
ํ์ฌ ์์คํ ์ Password Hash, LSA Secret, domain password cache ์ถ์ถ
โข Cain & Abel
SAM, SYSTEM(syskey) ํ์ผ์ ํตํด Hash ๊ฐ ์ถ์ถ
์ถ์ถํ Hash Cracking ์ง์(Brute Force, Rainbow Table)
forensicinsight.org Page 16
Password Hash Dump in NTDS.DIT
forensicinsight.org Page 17
Password Hash Dump in NTDS.DIT
NTDS.DIT ?
โข Active Directory ํ๊ฒฝ์์ ๋๋ฉ์ธ ์ฌ์ฉ์๋ค์ ํจ์ค์๋ Hash๋ฅผ ์ ์ฅํ๊ณ ์๋ ๋ฐ์ดํฐ๋ฒ ์ด์ค
โข Domain Controller ์ ์์น( %SystemRoot%\ntds\NTDS.DIT )
โข SAM ํ์ผ๊ณผ ๋์ผํ๊ฒ Hash ๊ฐ์ ํ๋ํ๊ธฐ ์ํด์๋ SYSTEM ํ์ผ์ syskey(BOOT KEY) ๊ฐ ํ์
โข ESE DB ํฌ๋ฉง
forensicinsight.org Page 18
Password Hash Dump in NTDS.DIT
Hash ์์ง ๋๊ตฌ
โข Widows Password Recovery( http://www.passcape.com/windows_password_recovery )
์์ฉ๋๊ตฌ
NTDS.DIT ํ์ผ๋ก๋ถํฐ Hash ์ถ์ถ
โข ntds_dump_hash( http://www.ntdsxtract.com/downloads/ntds_dump_hash.zip )
1. ๋๊ตฌ ์ปดํ์ผ
2. esedbdumphash ๋ฅผ ์ฌ์ฉํ์ฌ datatable ํ์ผ ์ถ์ถ
3. dsdump.py ๋ฅผ ์ฌ์ฉํ์ฌ hash ์ถ์ถ( with SYSTEM ํ์ผ )
forensicinsight.org Page 19
Password Hash Dump in NTDS.DIT
Hash ์์ง ๋๊ตฌ
โข NTDSXtract( http://www.ntdsxtract.com/en/ntdsxtract.html )
ntds_dump_hash ์ ์ ๊ทธ๋ ์ด๋ ๋ฒ์
libesedb( https://code.google.com/p/libesedb/ ) ๋ฅผ ์ฌ์ฉํ์ฌ NTDS.DIT ํ์ผ๋ก ๋ถํฐ ์ถ์ถํ
database table์ ์ ๋ ฅ์ผ๋ก ์ฌ์ฉ
์ฌ์ฉ๋ฒ
1. libesedb ์ esedbdexport ๋ฅผ ์ฌ์ฉํ์ฌ database table ์ถ์ถ
forensicinsight.org Page 20
Password Hash Dump in NTDS.DIT
Hash ์์ง ๋๊ตฌ
โข NTDSXtract( http://www.ntdsxtract.com/en/ntdsxtract.html ) ( ๊ณ์ )
์ฌ์ฉ๋ฒ(๊ณ์)
2. ์ถ์ถํ database table ํ์ผ์ NTDSXtract์ dsusers.py ๋ฅผ ์ฌ์ฉํ์ฌ ํ์ฑ
3. ntdstopwdum.py( https://raw.github.com/inquisb/miscellaneous/master/ntdstopwdump.py ) ๋ฅผ ์ฌ
์ฉํ์ฌ dsusers.py ์ ์ถ๋ ฅ์ ๋ณด๊ธฐ ์ข๊ฒ ๋ณํ
forensicinsight.org Page 21
Password History Dump
forensicinsight.org Page 22
Password History Dump
Password History
โข "Password Policy" ์ค์ ์ ํตํด ์ด์ ์ ์ฌ์ฉํ๋ ํจ์ค์๋๋ฅผ ์ ์ฅํ ์ ์์(Hash ํํ๋ก ์ ์ฅ
๋จ)
โข ๊ธฐ๋ณธ์ ์ผ๋ก Domain Controller ๋ 24๊ฐ, ์ผ๋ฐ ์๋ฒ๋ 0๊ฐ๋ฅผ ์ ์ฅ
โข NTDS.DIT, SAM ํ์ผ์ ์ ์ฅ๋จ
โข ์ด๋ฌํ ์ ๋ณด๋ฅผ ํตํด Password Cracking ์, ์ฌ์ฉ์์ ํจ์ค์๋ ํจํด์ ์ ์ ์์
forensicinsight.org Page 23
Password History Dump
Password History ์์ง ๋๊ตฌ
โข Cain & Abel( http://www.oxid.it/cain.html )
โข PWDumpX( http://packetstormsecurity.com/files/62371/PWDumpX14.zip )
โข pwhist( http://www.toolcrypt.org/tools/pwhist/index.html )
forensicinsight.org Page 24
LSA Secret Dump in Registry
forensicinsight.org Page 25
LSA Secret Dump in Registry
LSA Secret ?
โข ๋ ์ง์คํธ๋ฆฌ์ ์ ์ฅ๋์ด ์๋ ์ ๋ณด(LSASS.EXE ํ๋ก์ธ์ค์ DLL ์ธ์ ์ ํ์ฌ ๊ตฌํ ์๋ ์์)
โข ์ ์ฅ ์ ๋ณด
์ฌ์ฉ์ ๊ณ์ ์ผ๋ก ๋์ํ๋ ์๋น์ค์ ๊ณ์ ํจ์ค์๋(Local System, Network Service, Local Service
์ ์ธ)
์๋ ๋ก๊ทธ์ธ ํ์ฑํ ์, ์ฌ์ฉ๋๋ ํจ์ค์๋
โข ์ ์ฅ ์์น
HKEY_LOCAL_MACHINE/Security/Policy/Secrets ์๋ ๊ฐ Secret ํค ๋ค์ด ์์
๊ฐ Secret ํค์ ์๋ธํค ๊ฐ
โข CurrVal : ์ํธํ๋ secret ๋ฐ์ดํฐ( LSA Key ๋ก ์ํธํ๋์ด ์์ )
โข OldVal : ์ด์ ์ํธํ๋ secret ๋ฐ์ดํฐ
โข CupdTime : ๋ง์ง๋ง ์ ๋ฐ์ดํธ ์๊ฐ(FILETIME)
โข OupdTime : ์ด์ ์ ๋ฐ์ดํธ ์๊ฐ(FILETIME)
โข SecDesc : Security Descriptor
forensicinsight.org Page 26
LSA Secret Dump in Registry
LSA Secret ?(๊ณ์)
โข LSA Secret ๋ณตํธํ
CurrVal ๋ LSA Key ๋ก ์ํธํ ๋์ด ์์
์์ธํ ๋ณตํธํ ๋ฐฉ๋ฒ์ ์๋ URL์์ ํ์ธ
โข http://moyix.blogspot.kr/2008/02/decrypting-lsa-secrets.html
โข http://www.passcape.com/index.php?section=docsys&cmd=details&id=23
๋ณตํธํํ ๋ฐ์ดํฐ๋ ์ ๋์ฝ๋์
forensicinsight.org Page 27
LSA Secret Dump in Registry
LSA Secret Dump ๋๊ตฌ
โข Cain & Abel ( http://www.oxid.it/cain.html )
forensicinsight.org Page 28
LSA Secret Dump in Registry
LSA Secret Dump ๋๊ตฌ
โข gsecdump( http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5 )
โข lsadump2 ( http://packetstormsecurity.com/files/10457/lsadump2.zip ) : 32๋นํธ๋ง ์ง์
โข LSASecretsDump( http://www.nirsoft.net/utils/lsa_secrets_dump.html )
โข LSASecretsView( http://www.nirsoft.net/utils/lsa_secrets_view.html)
forensicinsight.org Page 29
LSA Secret Dump in Registry
๊ณต๊ฒฉ ์๋๋ฆฌ์ค
โข ํน์ ์์คํ ์ ์ฅ์ ํ ๊ณต๊ฒฉ์๋ ํด๋น ์์คํ ์ LSA Secret ๋ณตํธํ๋ฅผ ํตํด ์ค์ ์ฌ์ฉ์ ๊ณ์ ์ ํจ์ค์๋๋ฅผ ํ๋
ํ ์ ์์
โข ์ฌ์ฉ์ ๊ณ์ ์ ์ฌ์ฉํ๋ ์๋น์ค๋ ์๋์ ๊ฐ์ด services.msc ์์ "Log On As" ์ ๋ณด์์ ํ์ธ ๊ฐ๋ฅ
forensicinsight.org Page 30
Cached Domain Logon Information Dump in Registry
forensicinsight.org Page 31
Cached Domain Logon Information Dump in Registry
Cached Domain Logon Information ?
โข ๋๋ฉ์ธ ์ปจํธ๋กค๋ฌ ํ๊ฒฝ์์, ์ฌ์ฉ์๊ฐ ๋ก๊ทธ์ธํ ๋ก์ปฌ ์์คํ ์ ์บ์ฌ๋ Credentials(user+domain+hash) ์ ๋ณด
โข SECURITY ๋ ์ง์คํธ๋ฆฌ ํ์ผ ์ ์ฅ๋จ(LSASS.EXE ํ๋ก์ธ์ค์ DLL ์ธ์ ์ ํ์ฌ ๊ตฌํ ์๋ ์์)
โข Credentials ์ ๋ณด๋ฅผ ๋ก์ปฌ ์์คํ ์ ์บ์ฌํ๋ ์ด์ ? ๋๋ฉ์ธ ์ปจํธ๋กค๋ฌ๊ฐ ๊ณ ์ฅ๋ฌ์ ๊ฒฝ์ฐ๋ฅผ ๋๋นํ๊ธฐ ์ํด์ ์ ๋ณด๋ฅผ
์ ์ฅ(Off-line ์ ๊ทผ)
HKEY_LOCAL_MACHINE/Security/CACHE/NL$X ์ ์ ์ฅ๋จ
forensicinsight.org Page 32
Cached Domain Logon Information Dump in Registry
Cached Domain Logon Information ? (๊ณ์)
โข Server 2008์ ์ ์ธํ OS์์๋ ๋ก๊ทธ์ธํ 10๋ช ์ Credentials ์ ๋ณด๋ฅผ ๋ ์ง์คํธ๋ฆฌ์ ์ ์ง, Server 2008์์๋ 25
๋ช
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
์ ์ค์ ์ ๋ณด ์ ์ฅ
โข username์ salt๋ก ์ฌ์ฉํ์ฌ "Pass the Hash" ๊ณต๊ฒฉ์๋ ์ฌ์ฉํ ์ ์์
"Cachedump","Cain and Abel" or "creddump" ์ ๊ฐ์ ๋๊ตฌ๋ฅผ ํตํด Password Cracking ๊ณต๊ฒฉ ์ํ ๊ฐ๋ฅ
forensicinsight.org Page 33
Cached Domain Logon Information Dump in Registry
์์ง ๋๊ตฌ
โข Cain & Abel ( http://www.oxid.it/cain.html )
forensicinsight.org Page 34
Cached Domain Logon Information Dump in Registry
์์ง ๋๊ตฌ
โข creddump( https://code.google.com/p/creddump/ )
โข Windows Password Recovery ( http://www.passcape.com/windows_password_recovery ) : ์์ฉ
โข cachedump( http://http://www.openwall.com/john/contrib/cachedump-1.2.zip )
โข fgdump( http://www.foofus.net/~fizzgig/fgdump/ )
โข PWDumpX( http://packetstormsecurity.org/files/62371/PWDumpX14.zip )
forensicinsight.org Page 35
Password Hash Dump in Logon Session
forensicinsight.org Page 36
Password Hash Dump in Logon Session
Password Hash in Logon Session ?
โข Windows ์ธ์ฆ ์์
Logon Processes(WINLOGON.EXE)
โข ๊ธฐ๋ณธ Logon Process
โข ๋ก๊ทธ์ธ ์๋ I/O๋ฅผ ๊ฐ์งํจ
LSA(Local Security Authority, LSASS.EXE)
โข ์ ์ ๋ชจ๋ ํ๋ก์ธ์ค, ๋ก์ปฌ ์์คํ ๋ณด์ ์ ์ฑ ๊ณผ ์ฌ์ฉ์ ์ธ์ฆ์ ๊ด๋ฆฌํจ
โข ๋ก๊ทธ์ธ ์ธ์ ์ ์ง
Authentication Packages(MSV1_0.DLL)
โข NTLM Authentication Packages
โข ์ค์ ์ฌ์ฉ์ ์ธ์ฆ์ ์ํํ๋ DLL, ๋ก๊ทธ์ธ ์ธ์ ์์ฑ์ ์ํ, LSA๊ฐ ์์ ์, ๋ก๋ฉ๋จ
forensicinsight.org Page 37
Password Hash Dump in Logon Session
Password Hash in Logon Session ?
โข NTLM ์ธ์ฆ ๊ณผ์
1. ์ฌ์ฉ์ ๋ก๊ทธ์ธ ์๋๋ฅผ WINLOGON.EXE๊ฐ ๊ฐ์งํ์ฌ LSASS.EXE๊ฐ ๋ก๋ํ DLL์ธ MSV1_O.DLL์LsaLogonUser() ํจ์๋ฅผ ํธ์ถ
2. LsaLogonUser()๋ ์ฌ์ฉ์ ์ธ์ฆ์ ์ํ, ๋ก๊ทธ์ธ ์ธ์ ์ ์์ฑํ๊ณ ํด๋น ์ธ์ ์ Credentials๋ฅผ ์ถ๊ฐ
*Credentials : UserName, Domain, LM Hash, NT Hash๋ก ๊ตฌ์ฑ๋ ๊ฐ
โข ๋ก๊ทธ์ธ ์ธ์ ๋ด์ Credentials
LSASS.EXE๋ ์์ฑ๋ ๋ก๊ทธ์ธ ์ธ์ ์ ์ ์ง/๊ด๋ฆฌํ๋ฉฐ ๊ฐ ์ธ์ ์ NTLM Credentials์ ๊ฐ์ง๊ณ ์์
๊ฐ ์ธ์ ์ด ๊ฐ์ง๊ณ ์๋ Credentials ๊ฐ์ ํด๋น ์ธ์ ์ด ์ธ์ฆ์ด ํ์ํ ์์ (ex : ๋ฆฌ์์ค ์ ๊ทผ)์ ์ํํ ์ ์ฌ์ฉ๋จ
๋ฐ๋ผ์ ๋งค๋ฒ ์ฌ์ฉ์๊ฐ ํจ์ค์๋๋ฅผ ์ ๋ ฅํ ํ์ ์์ : SSO(Single Sign-On)
forensicinsight.org Page 38
Password Hash Dump in Logon Session
์์ง ๋๊ตฌ
โข LSASS ํ๋ก์ธ์ค์ DLL์ ์ธ์ ์ ํ๋ ๋ฐฉ๋ฒ => BSoD(Blue Screen of Death) ์ ์ํ์ฑ์ด ์กด์ฌ
pwdump6( http://www.foofus.net/~fizzgig/pwdump/ )
โข Windows 2000/XP/2003/Vista/2008 ์ง์
fgdump( http://www.foofus.net/~fizzgig/fgdump/ )
โข Windows 2000/XP/2003/Vista/2008 ์ง์
โข pwdump6 ์ ์ ๊ทธ๋ ์ด๋ ๋ฒ์
msvctl( http://www.truesec.se/sakerhet/verktyg/saakerhet/msvctl_v0.3 )
gsecdump( http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5 )
โข Windows 2000/XP/2003/Vista/7/2008 ์ง์
lslsass( http://www.truesec.se/sakerhet/verktyg/saakerhet/lslsass_v1.0_(x86) )
โข Windows Vista/7/2008 ์ง์
โข 32๋นํธ๋ง ์ง์
forensicinsight.org Page 39
Password Hash Dump in Logon Session
์์ง ๋๊ตฌ
โข ๋ฉ๋ชจ๋ฆฌ ๋ด์์ ๊ตฌ์กฐ์ฒด์ ์๊ทธ๋์ฒ๋ฅผ ํตํด ์นด๋นํ๋ ๋ฐฉ๋ฒ
wce( http://www.ampliasecurity.com/research/wcefaq.html )
โข Windows 2000/XP/2003/Vista/2008 ์ง์
โข ๋ก๊ทธ์ธ ์ธ์ ์ ๊ณ์ Credential ํ์ธ
โข ํ๋ํ Credential ๋ก CMD.EXE ์คํ
forensicinsight.org Page 40
Network Service Authentication Credentials Dump
forensicinsight.org Page 41
Network Service Authentication Credentials Dump
Credential Manger & Protected Storage
โข Credential Manger
Windows XP ๋ถํฐ ์กด์ฌ
๋คํธ์ํฌ ์์์ ๋ํ SSO(Single Sine-On) ์ง์
"vaults" ๋ผ ๋ถ๋ฆฌ์ฐ๋ ํน์ ํด๋์ ๋ฐ์ดํฐ ์ ์ฅ
DPAPI ๋ฅผ ์ฌ์ฉํ์ฌ ๋ฐ์ดํฐ ์ํธํ => ํ๋ฌธ์ผ๋ก ๋ณตํธํ๋ ๊ฐ๋ฅ~
Vista ์ดํ ๋ถํฐ Control Panel\User Accounts and Family Safety\Credential Manager ์์ ํ์ฑ
ํ ๊ฐ๋ฅ
โข Protected Storage
IE, Outlook ์์ ์ด๋ฉ์ผ ์ ๋ณด ์ ์ฅ
CryptoAPI ์ฌ์ฉํ์ฌ ๋ฐ์ดํฐ ์ํธํ, ํค๋ ์ฌ์ฉ์ ํจ์ค์๋
forensicinsight.org Page 42
Network Service Authentication Credentials Dump
์์ง ๋๊ตฌ
โข Credential Manger
netpass( http://www.nirsoft.net/utils/netpass-x64.zip )
Cain & Abel ( http://www.oxid.it/cain.html )
โข Protected Storage
pspv( http://www.nirsoft.net/utils/pspv.zip )
Cain & Abel ( http://www.oxid.it/cain.html )
Network Password Recovery( http://www.passcape.com/network_password_recovery ) : ์์ฉ๋๊ตฌ
forensicinsight.org Page 43
Network Service Authentication Credentials Dump
๊ณต๊ฒฉ ์๋๋ฆฌ์ค
โข ์ผ๋ฐ์ ์ผ๋ก ํ์ฌ ๋ด ์ ๋ฌด์ฉ PC์ Credential Manger, Protected Storage ์๋ ์ด๋ฉ์ผ, ๋ด๋ถ ์ฌ์ด
ํธ ๊ณ์ ์ ๋ํ ์ ๋ณด๊ฐ ์ ์ฅ๋์ด์์ ๊ฐ๋ฅ์ฑ์ด ๋์
โข ๊ทธ๋ฆฌ๊ณ ์ด๋ฌํ ๊ณ์ ์ ๋ณด๋ ๋๋ฉ์ธ ๊ณ์ ํน์ ๋คํธ์ํฌ ๊ณต์ ํจ์ค์๋์ ๋์ผํ ๊ฐ๋ฅ์ฑ์ด ๋์~
โข ๋ฐ๋ผ์ ๊ณต๊ฒฉ์๋ ์ด๋ฌํ ์ ๋ณด๋ฅผ ํตํด ํ ์์คํ ์ผ๋ก ๊ณต๊ฒฉ ๊ฐ๋ฅ~!!
forensicinsight.org Page 44
The Forensic Artifacts
forensicinsight.org Page 45
The Forensic Artifacts
ํ๋ก๊ทธ๋จ ์คํ ํ์ (in ๊ณต๊ฒฉํ๋ ์์คํ )
โข ํ๋ฆฌํจ์น(๋จ, ์๋ฒ๊ตฐ ์ ํ์์๋ ํ๋ฆฌํจ์น ๊ธฐ๋ฅ์ด ๊บผ์ ธ ์์)
โข ๋ ์ง์คํธ๋ฆฌ ์์ฉํ๋ก๊ทธ๋จ ํธํ์ฑ ์บ์
โข ๋ฉ๋ชจ๋ฆฌ ๋ด์ ๋จ์ ํ์
forensicinsight.org Page 46
The Forensic Artifacts
ํ๋ก๊ทธ๋จ ์คํ ํ์ (in ๊ณต๊ฒฉํ๋ ์์คํ )
โข RecentFileCache.bcf
๊ฒฝ๋ก : \Windows\AppCompat\Programs\RecentFileCache.bcf
์์ง๊น์ง Server 2008 ์์๋ง ๋ฐ๊ฒฌ๋จ;;
๋ฐ์ด๋๋ฆฌ ํ์ผ(BinText๋ก ๋ณด๋ฉด ๋ฌธ์์ด๋ง ๋ณผ ์ ์์)
๋ ์ง์คํธ๋ฆฌ์ ์์ฉํ๋ก๊ทธ๋จํธํ์ฑ ์บ์์ ์๋ ๋ฐ์ดํฐ์ ๋น์ทํ๋ ์์ ํ ์ผ์นํ์ง ์์.
์คํ๋ ํ๋ก๊ทธ๋จ ์์๋๋ก ๊ธฐ๋ก๋จ. ์ ํํ ์คํ ์๊ฐ์ ์ ์ ์์
์ด๋ฅผ ํตํด ํน์ ์ ์ฑ์ฝ๋์ ํ์ ์ ์ฐพ์ ์ ์์
forensicinsight.org Page 47
The Forensic Artifacts
ํ๋ก๊ทธ๋จ ์คํ ํ์ (in ๊ณต๊ฒฉํ๋ ์์คํ )
โข ์ ์ฑ์ฝ๋ ๋ด ์คํธ๋ง
์ ์ฑ์ฝ๋ ๋ด Export ํจ์๋ช ์ผ๋ก ์ฌ์ฉ๋ ์ ์์
forensicinsight.org Page 48
The Forensic Artifacts
๋คํธ์ํฌ ๊ณต์ ํ์ (in ๊ณต๊ฒฉ๋นํ ์์คํ )
โข ๋คํธ์ํฌ ๋ก๊ทธ์ธ( in Security.evtx )
๋ก๊ทธ์ธ ID : 3
์ธ์ฆ ํจํค์ง : NTLM
forensicinsight.org Page 49
The Forensic Artifacts
์์ ์ค์ผ์ฅด์ ํตํ ์คํ(in ๊ณต๊ฒฉ๋นํ ์์คํ )
At ๋ช ๋ น์ ํตํ ์์ ๋ฑ๋ก ํ์ ( in Microsoft-Windows-TaskScheduler%40Operational.evtx )
์์ ๋ฑ๋ก ํ์ (ID:140)
forensicinsight.org Page 50
The Forensic Artifacts
Psexec ์คํ ํ์ (in ๊ณต๊ฒฉ๋นํ ์์คํ )
โข ๋ ์ง์คํธ๋ฆฌ์ ์์ฉํ๋ก๊ทธ๋จ ํธํ์ฑ ์บ์
โข PsExec ์๋น์ค ์คํ
forensicinsight.org Page 51
Conclusion
forensicinsight.org Page 52
Conclusion
Windows Password ์ ๋ณด๋ฅผ ํ์น ์ ์๋ ๋ค์ํ ๋ฐฉ๋ฒ์ด ์กด์ฌ
๋๋ถ๋ถ์ ๊ณต๊ฒฉ ๋ฐฉ์์ด ๊ด๋ฆฌ์ ๊ณ์ ์ ๊ถํ์ด ํ์ํจ
โข ๋ก์ปฌ ๊ด๋ฆฌ์ ๊ถํ ๋ณดํธ
Windows 7 ์ด์ ์ฌ์ฉ
UAC ์ฌ์ฉ
์ผ๋ฐ ์ฌ์ฉ์ ๊ณ์ ์ ๊ด๋ฆฌ์ ๊ทธ๋ฃน์ ํฌํจ์ํค์ง ์์
๊ด๋ฆฌ ๋ชฉ์ ์, ๋์ผํ ID/PW ์ ๊ด๋ฆฌ์ ๊ณ์ ์ฌ์ฉํ์ง ์์
โข AD ๊ด๋ฆฌ์ ๊ถํ ๋ณดํธ
AD ๊ด๋ฆฌ์ ๊ณ์ ์ผ๋ก DC ์ธ ์๋ฒ ์ ์๊ธ์ง
์ผ๋จ ๊ณต๊ฒฉ ์ฑ๊ณตํ๋ฉด ํด๋น ๊ณ์ ์ ID/PW๋ฅผ ์ฌ์ฉํ๋ ํ์๋ ์ผ๋ฐ ํ์์ ๊ตฌ๋ถํ๊ธฐ ํ๋ฌ
โข ๋ณด์ ๊ด๋ฆฌ์์ ์ง์์ ์ธ ์ด์ ์งํ ๋ชจ๋ํฐ๋ง๊ณผ ๋น ๋ฅธ ๋์ฒ๊ฐ ํ์ํจ
forensicinsight.org Page 53
Question and Answer