top of page
작성자 사진CK Bloger

BlackLight에서 애플 Keychain 구문 분석


작성자 : Stephanie Thompson, 솔루션 엔지니어

번역/편집 : CK 블로거


키 체인(Keychain)은 macOS 및 iOS 장치에서 사용자 이름과 비밀번호를 저장하기 위해 사용되는 암호화 된 container 이며 신용 카드 번호 및 은행 계좌 개인 식별 번호와 같은 기밀 정보입니다. BlackLight 2020 R1은 파일 확장자 (.keychain 및 .keychain.db)로 식별되는 키 체인 파일의 정보를 구문 분석 할 수 있습니다.



BlackLight 2020 R1의 새로운 처리 기능


키 체인 파일은 기본 Triage 수준에서도 사용할 수 있는 '데이터 추출(Extract Data)' 옵션으로도 처리할 수 있습니다. 암호를 입력하지 않으면 BlackLight는 암호 없이 키 체인을 구문 분석합니다. 잠긴 키 체인을 암호가 없이 열면 저장된 데이터의 보호 값을 볼 수 없습니다.


일반적으로 시스템 키 체인 파일은 암호 없이 잠금 해제 할 수 있는 유일한 키 체인입니다. 사용자의 로그인 비밀번호는 사용자의 login.keychain 파일을 잠금 해제하는 데 사용됩니다. 사용자의 비밀번호를 알고 있거나 시도하고 싶은 추측이 있는 경우 증거 추가 창의 'Manage Passwords..'버튼을 클릭 하십시오 .






'Manage Passwords…'를 클릭하면 알려진 암호 또는 가능한 암호를 입력하거나 암호 목록 텍스트 파일을 가져올 수 있는 암호 창이 나타납니다. 큰 비밀번호 목록을 넣어 사용할 수 있지만 이 기능을 암호 해제 공격 방식으로 사용하는 것은 권장하지 않습니다. 추가할 비밀번호 문자열은 UTF-8로 인코딩되어야 하며 추가 된 비밀번호 목록에는 한 줄에 하나 씩 비밀번호가 있어야 합니다.




(참고 : 키 체인 처리는 오직 초기 증거 수집 시에만 발생합니다.)



키 체인 분석


처리가 완료되면 파싱 된 키 체인 데이터는 'Actionable Intel'의 'Passwords subview'에 있는 'Apple Keychain'섹션에서 확인할 수 있습니다. 암호를 입력하지 않고 이미지가 처리 된 키 체인 분석 결과와 사용자의 로그인 암호를 사용하여 이미지가 처리 된 결과를 살펴 보겠습니다.


키 체인에는 다양한 유형의 항목이 포함되어 있습니다. 사용자의 로그인 키 체인에서 찾을 수 있는 것은 사용자가 만들거나 연 잠긴 디스크 이미지 파일 (dmg)과 관련된 암호입니다. 구문 분석 된 잠금 키 체인 (비밀번호 없음)과 구문 분석 된 잠금 해제 키 체인 (비밀번호 제공)의 차이점을 보여주기 위해 아래에 표시된 예는 저장된 디스크 이미지 비밀번호에 대한 키 체인 항목을 정렬해 보았습니다.


  • 수집시 비밀번호 없음

login.keychain-db 파일 (파일 이름에 -db 필터를 사용하여 지정)에서 'dmg'가 포함 된 이름을 가진 'Actionable Intel'키 체인 항목의 파일 필터 기능을 사용하면 6 개의 항목이 반환됩니다. BlackLight 는 비밀번호가 저장된 값 필드를 제외하고 키 체인에 포함 된 항목을 구문 분석했습니다 .




  • 수집시 사용자의 로그인 비밀번호 입력함

새 case 파일에서 동일한 증거 파일이 수집되었습니다. 이번에는 사용자의 로그인 비밀번호를 'Manage Passwords…'버튼에 입력하였습습니다. 아래에서 login.keychain-db 파일에서 BlackLight가 구문 분석 한 데이터를 볼 수 있습니다. 입력한 비밀번호가 키 체인을 열었고 6 개의 디스크 이미지 모두에 대한 비밀번호가 표시됩니다.







고려할 사항


키 체인은 초기 증거 수집 중에 만 처리된다는 것을 기억하는 것이 중요합니다. 비밀번호를 입력하지 않거나 올바른 비밀번호를 입력하지 않으면 잠긴 키 체인에 저장된 값이 구문 분석되지 않습니다.


(*CK 팁 : 최초 이미지 추출 시 비밀번호를 입력하지 않고 수집한 데이터는 추후 비밀번호를 알아도 수집 대상 기기 없이는 추가 구문 분석을 할 수 없다는 것을 말합니다.)


사용자의 로그인 암호를 모르는 경우 'Actionable Intel'의 다른 영역에 도움이 될 단서가 있을 수 있습니다. 예를 들어, 사용자 계정이 자동 로그인으로 설정되어 있으면 'Actionable Intel'의 'Account Usage'의 'User Accounts'하위보기에서 암호가 구문 분석됩니다.




macOS의 시스템 키 체인은 잠겨 있지 않으며 Wi-Fi 네트워크 및 Time Machine 암호를 가지고 있을 수 있습니다. 많은 사람들이 같은 암호를 재 사용하는 경우가 많으므로 시스템 키 체인에 저장된 값으로 암호 목록을 작성해 보는 것을 추천합니다.




분석 중에 데이터가 발견되면 초기 처리 중에 잠금 해제 되지 않은 키 체인의 잠금을 해제하려고 할 수 있습니다. 이를 위한 몇 가지 옵션이 있습니다.


또 다른 옵션은 새 CASE 파일을 작성하고 Triage 레벨 처리 옵션 (실행하는 데 가장 적은 시간이 소요되는 방법) 만 선택하고 'Manage Passwords...'에 찾은 비밀번호를 입력 한 후 증거를 재 처리하는 것입니다.


다른 옵션은 BlackLight 파일 필터 를 사용하여 키 체인이 포함 된 확장자를 가진 파일의 증거를 필터링 하는 것입니다. .keychain 및 .keychain 파일이 모두 반환 됩니다. 모든 파일을 선택하고 논리 증거 파일 (.L01)로 내 보냅니다.



그런 다음 전체 이미지 파일 대신 논리 증거 파일을 처리 할 수 ​​있습니다. 이 접근 방식은 다른 암호 목록으로 키 체인의 잠금을 여러 번 시도하면 시간이 절약됩니다. BlackLight에 대해 자세히 알아 보거나 견적을 요청하거나 무료 평가판을 받으려면 여기를 클릭하십시오 .

조회수 29회댓글 3개

최근 게시물

전체 보기

3 Comments


WB
WB
Feb 23

Keychain은 macOS 및 iOS 장치에서 사용자 이름과 비밀번호를 저장하기 위해 사용되는 암호화된 저장소입니다.

BlackLight 2020 R1은 기본 분류 수준에서도 사용할 수 있는 데이터추출 옵션으로도 키 체인 파일을 구문 분석 할 수 있습니다.

키 체인은 초기 증거 수집 중에만 처리됩니다. 비밀번호를 입력하지 않거나 올바른 비밀번호를 입력하지 않으면 잠긴 키 체인에 저장된 값이 구문 분석되지 않습니다.

따라서 수집 대상 기기가 있을 때 비밀번호를 입력하여 구문 분석하는 것이 옳습니다.

분석 중 데이터를 발견하여 초기 처리 중 잠금 해제되지 않은 키 체인에 대하여 잠금을 해제하려고 할 수 있습니다.

이 때 Triage 레벨 처리 옵션에서 찾은 비밀번호를 입력한 후 증거를 재 처리할 수 있습니다.

Like

영아 김
영아 김
Sep 21, 2023

- BlackLight 2020 R1 새로운 처리 기능

- 키 체인 분석

- 고려할 사항

Like

JM
JM
Apr 18, 2023

BlackLight을 통해 효율적으로 키체인 구문을 분석하는 방법에 대한 소개

잠긴 키체인의 값은 Manage Passwords를 입력해야만 구문이 보이며 입력하지 않을 경우 잠긴 값은 보이지 않는다.

이때 다음과 같은 사항을 고려해 볼 수 있다.

Actionable Intel'의 'Account Usage'의 'User Accounts'하위보기에서 암호 구문 분석을하면 해당 비밀번호로 Manage Passwords를 입력하여 처리.

Triage 레벨 처리 옵션(시간이 적게 소요되는 방법) 만 선택하고 'Manage Passwords'에 찾은 비밀번호를 입력 한 후 증거를 재 처리.




다른 옵션은 BlackLight 파일 필터

Like
bottom of page