이번에 리뷰 해볼 논문은 한국정보보호학회에 2016년에 투고된 레지스트리 접근 권한 변조 도우 저장소 공간 시스템 상의 가상 디스크 재구성 방법 연구 라는 논문이다.
논문 원문은 아래의 주소에서 확인해 볼 수 있다. URL : https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002157436
<aside> 3️⃣ 레지스트리 하이브 파일을 구성하고 있는 작은 단위를 셀단위라고 하는데, sk 시그니처를 가지고 있는 Security Descriptor 영역의 데이터를 변조하여 보안과 관련된 설정을 조작할 수 있다. sk Cell 변조로 공격자는 접근권한 강화 및 완화가 가능해지면서 일반 사용자 입장에서 레지스트리 키 파일 접근이 가능하다.
</aside>
레지스트리 하이브 파일 구조에서 sk(Security Key) 라고 불리는 셀은 레지스트리 키에 대한 접근제한 기능을 제공한다. 만약 sk셀이 공격자에 의해 변조가 되었을때, 레지스트리의 비밀 정보를 알아 낼 수 있고 이벤트 로그 감사정책 과 같은 운영체제 아티팩트의 생성 여부를 결정 할 수 있기 때문에 중요하게 보안과 관련된 설정을 조작할 수 있다. 하이브 파일을 셀 단위로 변조하여 접근 제한 속성을 조작하는 방법을 제시함과 동시에 조작으로 인한 보안 측면의 문제점과 하이브 파일이 변조 됬다는 흔적에 대해서 이야기 한다.
Forensic , Registry , Hive File , Security Key, Access control, Modification
레지스트리는 윈도우 운영체제에서 시스템 관련 필요한 정보를 저장하는데 사용하는 데이터베이스이다. 또한 윈도우 계정 로그인 과 같은 사용자의 행위의 모든것에 관여하며, 운영체제 아티팩트의 설정도 관여한다.
레지스트리 정보는 하이브 파일이라는 물리적인 파일에 존재하며, 셀이라는 단위로 저장되게 된다.
regedit 에서 볼 수있는 폴더를 키 라고 이야기하고, 키안에 들어있는 정보를 값이라고 한다.
보안관련 설정을 제공하기 때문에 sk 셀이 제공하는 접근제한 기능으로 인해 계정에 따라 볼 수 없는 경우도 있다.
**HKLM]SAM\\SAM** 이나 **HKLM\\SECURITY** 와 같은 키는 관리자 계정으로만 접근이 가능하다.
HKLM\SAM\SAM 하위 레지스트리 키를 확인할 수 없는 것을 확인해 볼 수 있다.
프리패치 파일 생성 설정을 PrefetchParameters 키의 Enable Prefetcher 값은 일반 사용자 계정으로 수정이 불가능하다. 레지스트리의 접근제한을 무시하고 키에 접근 및 수정을 하게되면 이벤트로그가 생성되지 않도록 하는 감사정책 설정이 가능하다. SAM 하이브 파일에서는 사용자의 계정정보와 프로필이 노출될수 있기 때문에 레지스트리의 접근제한 설정은 보안과 직결되기에 중요하게 다루어져야한다.
본 논문에서는 레지스트리 정보에 대한 접근제한 설정을 조작하기 위해서 하이브 파일을 위/변조를 진행하였다.
**본 논문에서의 위/변조에 대한 결과 :**
**1. nk 셀을 변조하는 방법 - 단일키에 대한 접근 제한 속성을 강화 혹은 약화가 가능하다.
2. sk 셀을 변조하는 방법 - sk 셀을 참조하는 모든 키에 대한 접근 제한 설정이 가능하다.**
⇒ 수정권한 없는 레지스트리 정보 조작시 시스템에 적용을 하면 프리패치나 이벤트 로그 등의 포렌식 관점에서 중요하게 생각하는 요소들의 설정 변경 or 계정정보 및 프로필 정보와 같은 레지스트리의 접근권한을 약화시켜 사용자 정보를 탈취하는 것도 가능