Monthly Archives: January 2017

You are browsing the site archives by month.

Enscript를 사용하여 문서보안(DRM) 설정된 파일 분류

내부감사 업무 수행시 문서보안(DRM)이 설정된 파일들은 Encase, FTK 툴을 통해서 분석이 불가하기 때문에 툴 분석 이전에 암호화된 파일들을 복호화 해야된다.

감사 대상자가 여러명일경우 별도로 암호화된 파일만 추출화하면 복호과정에서 시간절약? 및 오류 발생률을 줄일 수 있다.

 

 

문서보안설정된 파일들만 추출하는 Enscript

예) Fasoo DRM 팔일

——————————————————

class MainClass {

void Main(CaseClass c) {

SystemClass::ClearConsole(SystemClass::SHOWCONSOLE);

String FolderPath=”C:\\TEST\\”;

for(ItemIteratorClass iter(c); EntryClass entry = iter.GetNextEntry();) {

String strExt = entry.Extension();

if(strExt==”ppt” || strExt==”xls” || strExt==”doc” || strExt==”pptx” || strExt==”xlsx” || strExt==”docx” || strExt==”pdf” || strExt==”hwp”) {

EntryFileClass entryFile();
entryFile.Open(entry);

long Signature = entryFile.ReadBinaryInt(4);

if(Signature == 0x5244209B) {

Console.WriteLine(entry.Name());
LocalFileClass File();
File.Open(FolderPath + entry.Name(), FileClass::WRITE);
File.WriteBuffer(entryFile);
File.Close();

}

}
}

}
}

스마트폰에 설치된 네이버 어플들~~

네이버 밴드 : 밴드내 채팅방에 평문으로 대화내역 저장,  cmc_chat.sqlite 

네이버 웍스메일 : 메일 내역 HTML 형태로 DB에 저장, navermail2.sqlite

네이버 메모 : 내용 평문저장, navermemo.sqlite

네이버 카페 : 카페 채팅 평문저장, navercafe.sqlite

네이버 메일 : 메일 내용 평문 저장, navermail2.sqlite

 

내부감사부서의 디지털정보조사기법

..

정보유출건 분석에서 협력업체 부정으로…

중견기업으로 부터 정보유출관련해서 포렌식 분석을 의뢰 받았다.  국내에서 제작한 물품이 해외에서 똑같이 생산되고 있었다. 

내부적으로 위 사안관련하여 의심가는 대상자가 있었기 때문에 관련직원을 중심으로 분석을 수행하였다. 유출경로별 아티팩트들을 분석했지만 별다른 특이사항이 없었다.  뿐만아니라 해외로 유출된 디자인시안 BOM 관련된 문서를 가지고 있지도 않았다. PC 및 스마트폰 포렌식을 수행하였는데 스마트폰 기록에도 별다른 특이사항은 발견되지 않았다. 

그러나, 협력업체와의 부정이 발견되었다.  과거에 발견되었던 이슈들이 이번에도 그대로 나탔다.

ㅇ A협력업체로부터 구매하는 자재들의 원가를 높게 책정

ㅇ 경쟁사에서 제시한 단가를 A협력업체에게 전달

ㅇ 설, 추석 명절 등(A협력업체사장 해외여행, 구매 담당자 경조사 등)  고가의 선물, 금품 수수

ㅇ A협력업체로 부터 잦은 접대를 받음

ㅇ A협력업체가 조금이라도 마음에 안들게하면 갑질함. “다른업체 알아본다고..”

ㅇ 구매담당자가 술값을 계산하라고 불러냄 등

비록 정보유출관련하여 유출자를 확인하기는 어려웠지만, 기존에 경험을 통해 거래부정을 발견할 수 있었음.