2024 KDFS 챌린지 풀이 - 내부정보 유출 관련 "USB 연결" 분석

이번 2024 KDFS 챌린지 주제는 기업 내부정보 유출 관련 분석 내용이었습니다.

 

2024 KDFS 챌린지 수상 발표는 2024년 12월 5일로 안내받았습니다. 

 

열심히 준비하신팀들이 좋은 결과를 얻길 기원합니다.

 

참가하신분들이 많은것으로 아는데 같은 아티팩트여도 DFRG팀이 풀었던 관점과

 

비교해보는 것도 좋을 것으로 보입니다. 아래는 USB 관련 풀이 내용 일부입니다.

 

 

 

    김개발 PC 연결 USB 기록 분석 결과, USB 디바이스는 2024. 10. 4. 17:44:32 PC에 처음 연결되었으며, 마지멱연결 시간은 17:44:34로 확인되었고 해당 시간은 USBSTOR 로그에 기록되었다.

 

    이후 10월 7일 삽입 및 제거 시간이 새롭게 기록되었는데, 이는 물리적 연결이 가 상머신(VM)을 통해 이루어진 것으로 판단된다.  USBSTOR 로그는 USB가 연결될 때마다 삽입 및 제거 시간을 갱신하며, VM에 연 결된 경우에도 별도의 시간 기록을 생성한다. 

 

   현물리적 연결 동작 없이 삽입/제거 시간 이 갱신된 점으로 보아 USB가 VM에 연결된 것으로 판단된다. 만약 VM 연결이 없었다면 마지막 삽입 및 제거 시간은 10월 4일로 남아 있어야 하며, 10월 7일로 갱신된 현 상황은 VM 연결로 추정할 수 있는 근거이다.

 

-----------------------------------------------------------------------------------

위와 같이 윈도우 PC 즉, 호스트 PC에 USB 연결을 상세 분석하여 VM 연결에 대한 근거를 확인하고 VM에 대한 분석을 추가로 하였습니다. USB에 대해 실제적인 윈도우 연결과 물리적인 연결을 구분지어 분석관점을 가지고 보고서를 작성하였습니다.

 

물리적으로 윈도우 OS가 설치된 PC에 물리적인 USB포트에 연결로 USB는 연결되었지만, USB 연결 주체가 윈도우 OS가 아닌 윈도우 OS안에 설치된 VM WARE에 연결되었으므로, 윈도우 OS 기준으로는 마지막 연결시간이 10월 4일이며, 물리적인 삽입 및 제거 시간이 10월 7일로 확인된 사항입니다. VM에 대해 USB 분석결과, 동일한 10월 7일자로 기록이 확인되었습니다.

 

이 외에 다른관점으로 작성해보신 팀이 있다면 해당 내용 댓글 환영합니다!

 

KDFS 수상자 발표 이후 이러한 관점 내용을 추가로 업로드하겠습니다. 감사합니다.