221108 송보연
1. 웹 아티팩트란 ?
: 웹 아티팩트란, 웹 브라우저를 이용하면서 남게되는 흔적으로, 흔히 디지털 포렌식에서 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 말한다.
포렌식 조사를 위해서 주로 확인하는 정보는 웹 캐시, 웹 히스토리, 웹 다운로드 목록, 웹 쿠키 등이 있다. 이들은 대부분 방문한 URL흔적과 송수신된 인자를 분석해 검색어 등을 찾는데 이용된다.
2. 웹 아티팩트의 종류별 특징
[1] Cache (웹 캐시)
웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터이다. 기존에 방문했던 웹 사이트들을 재방문할때 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 사용하기 위해서 만들어졌다. 캐시에는 이미지파일, 텍스트파일, 아이콘, HTML파일, XML파일, 스크립트 파일 등 웹 페이지를 표현하기 위한 데이터들이 다양하게 저장되어 있다.
#웹 캐시 제공 정보 : 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로)
[2] Web History (웹 히스토리)
웹 히스토리에서 찾을 수 있는 정보는 사용자가 '직접 방문'한 웹 사이트의 접속 기록이다. 캐시의 본 목적은 사용자에게 웹 사용에 관한 편의를 제공하기 위한 것이지만, 웹 사이트 방문시 웹 사이트의 정보를 분류해서 저장한다.
# 웹 히스토리 제정 정보 : URL, 접속 시간, 접속 횟수, 페이지 Title
[3] Download File List (웹 다운로드 목록)
웹 브라우저는 웹에서 다운로드 받은 파일의 안정적인 전송과 다운로드 이력을 관리하기 위해 다운로드 되는 파일의 목록을 관리한다. 사용자가 웹 브라우저를 통해 직접 다운로드 한 파일의 정보가 기록된다.
# 웹 다운로드 목록 제공 정보 : 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등
[4] Cookie (웹 쿠키)
HTTP는 기본적으로 데이터를 주고 받을 때 각각의 송.수신이 독립적으로 이루어질 수 있도록 설계되어있는데, 이를 쿠키라는 임시 저장소를 만들어 서버에서 받아오는게 아니라 사용자 정보를 쿠키에 잠시 저장해 둠으로써 접속을 꾸준히 유지할수 있게하였다. 보안상의 이유로 쿠키에 자세한 정보가 저장되는것은 지양되지만, 사용방법이 간단하기에 아직도 쿠키는 자주 이용되고 있다.
# 웹 쿠키 제공 정보 : 호스트 경로, 쿠키 수정시간, 쿠키 만료시간, 이름, 값
3. 분석대상 (Target)
- 많지만, 그중 자주 사용되는 크롬,사파리, 인터넷 익스플로어에 대해서만...
[참고]
디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티 (forensic-artifacts.com)
Portable Forensics: 웹 아티팩트(Web Artifact) (portable-forensics.blogspot.com)
'Security Study > SWUFORCE' 카테고리의 다른 글
| [기술보고서] 안랩 ASEC 리포트 vol.108 (1) | 2022.11.22 |
|---|---|
| [기술보고서] 칩페이크란 무엇일까요? + 비대면 환경에서 성장하는 칩페이크 (0) | 2022.11.11 |
| [DFC 2021] 101 - shellcode payload (0) | 2022.11.08 |
| [기술보고서] 이스트 시큐리티 보안 동향 보고서 (10월) (0) | 2022.11.08 |
| [기술보고서] 삼성 SDS 인사이트-인간처럼 사고하는 멀티모달(Multi Modal)AI란? (1) | 2022.11.01 |
