Forensic Artifacts
- Mac OS Forensics vt
macOS KeyChain
macOS KeyChain
About Apple KeyChaine
- 키체인은 데이터베이스에 암호화된 데이터의 모음 들을 저장하는 메커님즘으로 열쇠뭉치라고 연상 한다면 이해하기 쉽습니다.
Apple KeyChain 특성
- 기본적으로 앱은 자신의 키 체인에만 접근 가능
- iOS에서 키 체인의 위치는 샌드박스 외부임으로, 앱을 삭제하더라도 키 체인에 저장된 정보는 삭제되지 않음
- 키 체인 그룹을 사용하여, 서로 다른 앱에서도 저장된 데이터를 공유 가능
- 키 체인은 잠금 기능을 지원하기 때문에 한번 잠긴 키체인은 Apple 기기의 잠금을 해제해야 관련 정보 확인 가능
- 비밀번호 같은 개인정보는 보호가 필요하기 때문에 암호화 되어 보관하며, 보호가 필요없는 파일은 암호화 없지 저장 가능
보호된 파일은 잠금을 해제할 경우 정보 확인 가능
Apple KeyChain 구성 요소
- 키 체인 아이템 : 키 체인에 저장된 데이터로 여러 개의 체인 아이템 보유 가능
- 이이템 클레스 : 사용자의 ID/PW( 웹사이트 URL과 사용자 계정 정보 ) 등을 선택가능 하며 임의의 추가는 불가능
- 어트리뷰트 : 아이템 클래스에 대한 속성과 아이템 클래스에 따라 설정 가능한 어트리뷰트의 종류가 달라짐
Apple KeyChain 포렌식적 관점
- 어플리케이션 또는 웹사이트 로그인 등의 사용자 데이터를 저장하고 있는 아티팩트(Aritifacts)로써, 사용자가 사용중인 모든 앱/웹 계정 정보 수집 가능
- 동일한 Apple 아이디를 사용하는 기기는 KeyChain 정보를 공유하기 때문에 앱/웹 기록 수집 용의
- 사용자가 로그인 했던 웹사이이트 정보를 기반으로 추가 분석 가능 ( 불법 도박 사이트, 불법 판매 사이트, 데이팅 웹 등 )
Apple Keychain 리스트로 사용자의 인증서, 암호화 정보(웹 / 어플리케이션 등)의 정보를 저장하고 있습니다.
MAGNET AXIOM을 이용하여 Keychain 정보를 수집할 수 있습니다. 단, 암호화가 적용되지 않은 keychain 정보를 수집합니다.
모든 Keychain 정보를 수집하기 위해서는 사용자의 macOS 로그인 패스워드가 필요합니다.
수집 완료된 Keychain 정보는 MAGNET Exmine의 아티팩트 탐색기에서 손쉽게 확인 가능합니다.
소스링크(Source link)를 활용하여 파일시스템 위치로 이동 가능하며 원본 형식의 Keychain 데이터를 확인할 수 있습니다.