[Forensics Tool 리뷰 ] MagnetRESPONSE 툴 리뷰

 

마그넷 포렌식에서 새로운 무료 툴을 공개했다.

Magnet Response이라는 툴인데 Kroll에 KAPE와 유사한 툴로 생각된다. 사실 Kroll도 좋은 회사이고, KAPE도 좋은 툴이지만,,, 난 Magnet을 상당히 편애한다. opentext보다 좋아하는 이유는 간단하다.

내가 할 일을 덜어주니까 ! 분석이라는 일은 (나는 문제만 풀었지, 현직자는 아니지만) 상당히 생각할 일이 많다.

하지만 Magnet에서 만든 Axiom은 그냥 내가 파싱해야할 모든 부분을 미리 파싱해서 저장해두고 단 한 번의 클릭으로 모두 볼 수 있도록 지원한다. 이 글을 쓰며 내가 써본 유료 포렌식 툴의 장점들을 소개한다면,

일단 Axiom은 그냥 컴퓨터의 대한 지식을 아주 극한으로 요구하는 프로그램은 아니지만 굉장히 아주 굉장히 비싸다. Encase같은 경우는 Axiom보다 자유도가 높다 ! Enscript를 할 줄 알고, Encase의 모든 기능을 자유자제로 쓸 수 있다는 가정하에 Encase는 어떤 툴과도 비교할 수 없는 최고의 툴일 것이다. X-way포렌식은 굉장히 GUI에 꾸밈이 없다. 그 만큼 가볍다. 가볍다가 장점이다. 단점도 가볍다는게 단점이다. 뭐 너무 오래 끌면 이 프로그램 리뷰가 아닌 포렌식 툴에 대한 전체적인 나의 생각의 글이 될 것 같아서 이 정도만 하고, 계속 툴을 리뷰해본다.

​

​

일단 이 툴에 대해 설명을 먼저 해보자면 MagnetRESPONSE에서는

​

• pagefile.sys를 캡처

​

아래의 휘발성 데이터를 파싱한다.

• 네트워크 연결
• 실행 중인 프로세스
• 로그인한 사용자
• 예약 된 일들
• IP 구성정보, 방화벽 정보
• WI-FI 정보
• Windows 서비스
• 로컬 사용자 계정
• Windows 버전의 세부정보

​

포렌식적으로 중요한 / 단서가 될 수 있는 파일

• Amcache
• Anydesk
• Chrome, Edge, firefox의 브라우저 기록
• 방화벽 기록, Jumplist
• MFT 및 메타데이터 로그에 관련된 파일
• NTUSER.DAT
• PowerShell 기록
• 프리패치
• 프로그램 호환성 관리자
• 파일 최근 링크 파일
• 휴지통
• 레지스트리 하이브
• 예약된 작업
• SRUM
• Teamviewer
• UsrClass.dat
• Eventlog
• Windows Time Line

​

뭐 일단 다운을 바로 받아보자.

사이트에서 간단한 정보를 입력하고 메일을 통해 다운을 받으면 파일 3개가 뜰 것 이다.

​

가장먼저 프로그램을 켜보면

상당히 직관적인 GUI로 체크박스와 그에 응하는 설명이 나열되어 있다.

Start Capture를 누르면 바로 캡쳐가 시작이 된다.

​

내가 사용중인 컴퓨터 기준 (오 미친 네이버 블로그 포스팅에서 모자이크 서비스도 지원해주는구나.. 이제 알았네 그림판으로 하기 귀찮았는데 너무 고맙다 네이버 !) 4분 10초가 걸렸고, 보안이 빡셀 수 있는 싸지방에서도 뭐 어떠한 에러없이 또 관리자권한도 없이 파싱을 완료하는걸보면 프로그램 자체에서 권한의 대한 문제는 걸리지 않는 것 같기도 하고, 이 것만 봤을 땐 상당히 괜찮은 성능이다.

​

파싱도 다 된걸로 봐선 크게 버그도 보이지 않는다.

하나하나 들어가보기 귀찮아서 그냥 눈에 보이는거 몇개 들어가서 확인하여봤는데 제대로 파싱이 되어있더라.

​

다른 마그넷 포렌식의 툴은 내가 써본게 Axiom말곤 없다 사실상 Axiom말곤... 내가 써볼 수 있는 툴이 크게 있었던가 ? Axiom에서 Free Tool로 쓸 수 있는 메모리 캡처 도구는 사실상 그 도구를 쓸 빠엔 다른 도구가 훨씬 사용하기 편하게 되어있고,, 다른 도구들은 내가 딱히 지금에선 사용할 필요가 없는 도구들이기 때문에, 이번이 솔직히 2번 째 마그넷 포렌식 툴 사용 후기이다.

좋다 ! 상당히 괜찮게 파싱이 되어잇기 때문에 내가 꺼내보기도 쉽고, 애용할 상황이 있다면 애용할 것 같다.

믿고 쓰는 마그넷 포렌식이기 때문에 ..! 아래는 그냥 마그넷 포렌식에서 이 툴을 설명하는 부분을 쫙 써놨다.

한 번 씩 봐라 도움이 될 것 이다.

​

​

​

​

​

release_notes의 내용은 아래와 같다.

걍 내가 읽기 편하게 하려고 번역기 돌렸는데 읽어보고 싶다면 뭐 읽어봐라.

​

Magnet RESPONSE v1.61 [April 3, 2023]

-------------------------------------

- Bug fixes

​

​

Magnet RESPONSE v1.6 [March 30, 2023]

-------------------------------------

- ARM 기반 시스템에서 RAM 캡처를 활성화하기 위해 DumpIt의 ARM 버전 추가

- AV/EDR에 의한 오 탐지를 피하기 위해 인코딩된 랜섬웨어 랜섬 노트 키워드

- 파일을 저장할 때 "파일을 찾을 수 없음" 및 기타 관련 오류를 일으키는 NTFS 구문 분석 버그 수정

- 또한 파일 시스템 구문 분석 오류가 발생할 때 파일을 읽기 위해 볼륨 섀도 복사본 생성 및 액세스에 대한 자동 장애 조치를 추가했습니다.

- 4KB 섹터 지원 추가

- 파일 수집 기능이 활성화된 경우(예: 파일 이름에 대해 키워드를 확인하고 파일 콘텐츠는 검색하지 않음) 키워드가 사용되는 방식에 대한 문구를 보다 명확하게 표시하도록 구성 UI를 업데이트했습니다.

- pagefile.sys 파일이 여러 개 존재하거나 페이지 파일이 시스템 드라이브가 아닌 다른 드라이브에 있는 상황에 대한 지원 추가

- 중요한 시스템 파일 수집: 프로그램 호환성 관리자 로그 파일에 대한 수집 옵션 추가

- 휘발성 데이터 수집 옵션: wmic가 도메인에 있는 일부 시스템에서 문제를 일으켰기 때문에 사용자 계정을 PowerShell/'순 사용자'(OS 버전에 따라 다름)로 열거하기 위해 wmic 도구 사용에서 전환되었습니다.

- 다양한 마이너 업데이트/개선

​

​

Magnet RESPONSE v1.5 [March 14, 2023]

-------------------------------------

- 정식 출시를 위해 Magnet SAFEGUARD에서 Magnet RESPONSE로 이름 변경(Magnet Idea Lab 졸업)

- RAM 캡처를 위해 DumpIt(v3.6.20230117)으로 교체된 자석 RAM 캡처 도구

- DumpIt이 실패할 경우 자동 대체 RAM 캡처 도구로 유지되는 자석 RAM 캡처(v1.2.0)(이전 버전의 Windows에서 관찰됨)

- 파일 수집 기능에서 지정된 크기 이상의 파일을 건너뛰는 옵션 추가(내장 파일 수집 옵션에는 적용되지 않음)

- "실행 중인 프로세스 캡처 - 확장 정보" 수집 옵션(TSV 파일)에 대한 업데이트된 출력(헤더 추가됨)

- 이전 버전의 Windows(Windows XP, Server 2003 및 Windows 7 테스트)와의 하위 호환성을 보장하기 위한 사소한 UI 및 기타 업데이트

- 매우 작은 캡처에 대한 사소한 확인 버그 수정

- 기타 사소한 개선

​

​

Magnet SAFEGUARD v1.4 [Feb 1, 2023]

-----------------------------------

- 적시에 완료되지 않는 프로세스를 종료하는 처리 기능 추가

- 'wmic' Windows 유틸리티 사용을 허용하지 않는 시스템에서 로컬 사용자 계정을 얻기 위한 백업 옵션 추가

- 시스템 드라이브가 아닌 드라이브에서 수집하는 명령줄 옵션 추가

- 사용법: MagnetSAFEGUARD /drive:<drive_letter>

- 예: MagnetSAFEGUARD /드라이브:E

- 업데이트된 ZIP 파일 라이브러리

​

​

Magnet SAFEGUARD v1.3 [December 8, 2022]

----------------------------------------

- RAM 캡처 직후 pagefile.sys 파일을 캡처하는 기능 추가(활성화된 경우)

- 대용량 내장 키워드/파일 이름 목록을 기반으로 랜섬웨어 랜섬 노트 파일을 찾고 복구하는 기능 추가

- 키워드/파일 확장자를 기반으로 모든 파일을 찾고 수집하는 기능 추가

- VBScript, PowerShell 스크립트, Windows 셸 파일 등과 같은 일반적인 맬웨어 관련 파일을 수집하는 데 유용합니다.

- "collectkeywords.txt"라는 이름의 파일이 SAFEGUARD 실행 파일과 동일한 폴더에 존재하는 경우 해당 파일을 로드하고 내용(한 줄에 키워드 1개)을 파일 수집 키워드로 활용

- 이제 네트워크 연결을 위한 관련 프로세스의 전체 경로가 프로세스 이름만 아니라 저장/표시됩니다.

- 분석 수행 시 프로파일 선택을 쉽게 하기 위해 RAM 캡처 파일 이름에 Windows 버전/빌드 번호 추가

- 공간 부족 상황에 대한 처리 추가

- 캡처 중인 폴더에 심볼릭 링크가 포함된 경우 예외가 발생하는 버그 수정

- 기타 사소한 개선

​

​

Magnet SAFEGUARD v1.2.1 [June 30, 2022]

---------------------------------------

- 자동 캡처 기능이 중단되는 버그를 수정했습니다.

​

​

Magnet SAFEGUARD v1.2.0 [June 23, 2022]

---------------------------------------

- 빠른 선택을 위한 사전 설정을 사용하여 "중요한 시스템 파일 수집" 옵션을 선택할 때 대상 파일/위치를 사용자 지정하는 기능을 추가했습니다.

- "실행 중인 프로세스 캡처 - 확장 정보" 수집 옵션에 추가 기능: 이제 찾은 실행 중인 프로세스/로드된 모듈의 복사본을 다른 시스템에서 분석하기 위해 출력 ZIP 파일에 저장할 수 있습니다.

- 프로세스/로드된 모듈 열거와 관련된 문제 수정, 중복 항목 제거

- 최소 자동 캡처 옵션이 전체 컬렉션이 되는 버그 수정

- 기타 사소한 개조/개선

​

​

Magnet SAFEGUARD v1.1.0 [June 20, 2022]

---------------------------------------

- 초판

​

또 pdf의 내용도 아래와 같다.

읽어봐라. 프로그램을 쓸 때 어떤 기능이 있고, 어떻게 쓸 수 있는지는 그 회사가 써놓은 가이드라인이 가장 정확하고, 가장 그 프로그램을 개발자의 의도대로 사용할 수 있는 방법일 것이다. 뭐 같은 말인가? 쨋던 말의 전달이 확실하게 되었으면 한다. 어떤 툴을 쓰더라도 및에 있는, 혹은 파일로 저장되어 있는 가이드라인을 꼭 참고해보며 툴을 익히기를 바란다.