MacBook에서 이메일 수집 및 분석 - Blackbag Solution

MacBook에서 이메일 수집 및 분석

2020 년 7 월 21 일 |

게시자 : Julie Urban O'Shea-BlackBag a Cellebrite Company 글로벌 마케팅 관리자

번역/편집 : CK Blog

Web Shell은 일반적으로 사이버 공격에 사용되며 악의적 목적을 가질 수 있으며 이러한 경우 탐지하기 어렵습니다. 법의학 분석을 수행하는 대부분의 민간 컨설팅 회사는 매년 동일한 도구를 사용합니다. 또한 디지털 포렌식 커뮤니티도 수십 년 동안 이러한 도구 중 일부를 의존적으로 사용해 왔습니다. 기업 클라이언트와 작업하는 디지털 포렌식 분석가는 일반적으로 Windows 시스템에서 동일한 유형의 데이터를 반복해서 접하는 경향이 있습니다. 컨설턴트는 데이터가 저장되는 위치, 저장되는 형식 및 소송에 사용할 데이터를 추출하는 방법에 매우 익숙해지는 이유입니다. 데이터를 식별하기위한 특정 프로토콜과 절차는 익숙하게 사용하고 있는 포렌식 도구를 통해 모두 잘 작동하고 있는 것처럼 보입니다. 언젠가는 그렇지 않다는 것을 알게 될 것입니다.

한 회사의 변호사가 개인 컨설팅 회사 Contact Discovery Services를 고용하여 MacBook에 저장된 이메일 확인을 요청했습니다. 변호사는 직원이 회사를 떠나며 두고 간 MacBook에 저장된 이메일이 필요했습니다. 업무상 이메일을 최대한 빨리 복구해야 했습니다. 첫 번째 장애물은 이미징 이었습니다. 오랫동안 사용해오던 포렌식 도구로는 MacBook의 내부 저장 장치를 쉽게 분리해 내거나 복제할 수 있는 방법이 없었습니다. 이 딜레마에 대한 답은 Cellebrite MacQuisition이었습니다. Apple 컴퓨터를 이미지화 하기 위해 만들어진 Cellebrite MacQuisition은 MacBook의 전체 디스크 이미지를 만드는 데 사용합니다. 이미지는 법 의학적으로 안정적이고 데이터가 변경되지 않습니다. 이제 어떻게 진행되었는지 살펴보겠습니다.

사례

디지털 포렌식 분석에 배치된 담당자는 10년이 넘는 디지털 포렌식 분석 경험과 지식을 가지고 있었습니다. 이 분석의 우선 순위는 이메일을 최대한 빨리 찾는 것이었기 때문에 담당자는 기존 포렌식 분석 도구를 사용하여 MacBook의 포렌식 이미지를 읽어드려 e메일 파일 검색을 시작했습니다. 전자 메일 및 전자 메일 저장소를 찾기 위해 설계된 도구의 필터는 요청된 데이터를 찾지 못했습니다. e메일이 없었습니다. 데이터를 빠르고 쉽게 추출해 완료할 수 있는 사례가 이제 잠재적으로 오랜 시간과 인력이 필요한 장기 분석 작업이 될 것으로 보였습니다. 본격적인 디지털 포렌식 분석 연구가 시작되고 이메일 파일이 맥 2011 Outlook에서 생성된 형식으로 저장되었다는 것을 발견했습니다. 문제는 이것이 담당자에게 익숙한 형식이 아니라는 것입니다. 파일 확장자와 폴더 위치가 익숙하지 않습니다. 더 나쁜 것은 사용 중인 포렌식 도구가 데이터를 해석할 수 없다는 것입니다. 담당자는 다음 단계로 무엇을 해야 할지 확신할 수 없었습니다. 그가 수년 동안 사용한 업계 표준 도구는 도움이 되지 않았고 이메일 메시지 내용을 찾을 수 없었습니다. 이 시점에서 담당자는 Cellebrite BlackLight 로 도구를 전환했습니다. 그러자 Cellebrite BlackLight가 MacBook의 저장소 이미지는 물론 이에 포함된 데이터를 추출해 냈습니다. 이메일 파일은 초기 증거 처리 중에 구문 분석되어 Communications 탭에 표시되었습니다. 담당자는 이전에 Cellebrite BlackLight를 사용하거나 맥 OS 시스템에서 분석을 수행한 경험이 없었지만, 직관적인 인터페이스로 쉽게 전자 메일 메시지 위치를 알 수 있었고, 디지털 포렌식 분석 작업이 끝난 후 고객이 확인할 수 있도록 보고서를 작성할 수 있었습니다. 디지털 포렌식 분석 담당자는 Cellebrite BlackLight의 내보내기(export)를 사용하여 고객에게 현실적이고 정확한 타임 라인을 제공했습니다. 전반적으로 Cellebrite MacQuisition은 MacBook에있는 데이터의 이미지를 법의학적으로 안정적으로 캡처 할 수 있었고 Cellebrite BlackLight는 고객이 필요로 하는 e메일을 자동으로 찾아 냈습니다. Cellebrite BlackLight의 사용자 친화적인 인터페이스를 통해 복잡한 과정을 수행하지 않고도 신속하게 이메일을 찾아 확보할 수 있었습니다.

분석

다양한 다른 포렌식 도구를 사용하는 대신 이 분석을 위해 Cellebrite BlackLight 를 선택했습니다. 이 도구를 사용하면 많은 대용량 데이터 세트를 처리할 수 ​​있습니다.

결과

Cellebrite BlackLight는 전체 프로세스를 쉽게 만들었습니다. 모든 조사 활동에 태그가 지정되어 있고 Cellebrite BlackLight는 이메일을 자동으로 찾았습니다. 인터페이스는 직관적이므로 별도의 교육 없이도 사용자가 검색 기능, 필터링 및 피벗을 매우 쉽게 수행할 수 있습니다. 장치에 저장된 이메일을 빠르게 추출하려는 고객의 기대가 충족되었습니다.

Cellebrite BlackLight 기능

Cellebrite BlackLight 컴퓨터 포렌식 소프트웨어를 사용하면 디지털 포렌식 분석가가 컴퓨터 볼륨과 모바일 장치를 신속하게 분석하여 사용자 행동을 파악할 수 있습니다. 이 솔루션을 통해 조사관은 대규모 데이터 세트를 쉽게 검색, 필터링 및 선별하여 Mac 또는 Windows 기반 컴퓨터에서 생성된 데이터에 대해 스마트하고 포괄적인 분석을 수행 할 수 있습니다.

Mac 지원

• 비교할 수 없이 사용하기 쉬운 인터페이스.

• T2 칩을 포함한 최신 시스템 지원

• Fusion 및 Encrypted 된 장치 지원

• APFS 스냅 샷 및 Time에서 기록 검토

• Machine 백업들 지원

• Spotlight 메타 데이터 표시 및 검색

• 네트워크 연결, 최근 문서 및 사용자 활동 검토

Windows 지원

• 더 편리한 분석을 지원하는 신뢰받는 도구

• Microsoft Volume에서 장치 기록 검토

• Shadow복사본 지원

• 내장된 Windows 메모리(Bootcamp) 및 Windows 지원

• 레지스트리 분석

• 계정 정보, 최근 문서, 다운로드, 휴지통 및 USB 연결 자동 구문 분석

BlackLight는 이제 Cellebrite 제품입니다.

Cellebrite는 최근 BlackLight의 모회사 인 BlackBag를 인수하여 디지털 소스 지원을 확대하고 조사 흐름에 컴퓨터 데이터를 포함시켰습니다. 이러한 자연스러운 과정은 여러 소스에서 디지털 데이터에 액세스, 관리 및 분석하고 전체 디지털 인텔리전스 작업을 관리하여 타의 추종을 불허하는 플랫폼을 제공하기 위한 Cellebrite의 노력의 결과 중 하나입니다. 회사의 결합된 솔루션을 활용함으로써 고객은 이제 다음을 수행 할 수 있습니다.

• Mac 및 Windows 기반 플랫폼에 대한 데이터 액세스 지원

• 라이브 데이터 수집 단순화

• 추출 전 장치 분류

• 선택적 데이터 추출 수행

Cellebrite의 강력한 디지털 인텔리전스 솔루션 라인업에 Cellebrite BlackLight를 추가하면 현재와 미래의 요구 사항을 지원할 수 있는 최고의 도구를 고객에게 제공한다는 Cellebrite의 목표에 한발 더 다가가게 됩니다.

주요 요점 :

• Cellebrite MacQuisition은 MacBook의 법의학적 무결성을 가지는 이미지를 만듭니다.

• 숙련된 디지털 포렌식 분석가가 기존 사용하던 도구와 방법으로는 요청 이메일을 찾을 수 없었습니다.

• Cellebrite BlackLight는 MacBook 이미지에 저장된 이메일 파일을 자동으로 처리하여 Communications 탭에 표시했습니다.

• 이전의 도구를 사용한 디지털 포렌식 분석은 Cellebrite BlackLight 처럼 맥 OS 이미지 분석에서 사용자 친화적인 인터페이스를 사용하여 빠르고 정확하게 요구된 이메일을 찾을 수 없었습니다.

Cellebrite의 컴퓨터 액세스 및 분석 솔루션이 어떻게 도움이 될 수 있는지 자세히 알아보십시오.