月光愛靑狼

Magnet Axiom 8.7.0.42472 November 18, 2024 Release notes

◎ New Artifacts
- Firefox Cache Records | Android/Computer/macOS/Windows phone: 추가됨; Firefox 캐시 기록에 대한 파일 이름, MD5, SHA1, PhotoDNA 해시 조각.
- Samsung Customization Service - Web Activity | Android: 웹 활동 지원 추가(삼성 브라우저만 해당).
- TeleGuard Channels | iOS: TeleGuard 채널에 대한 지원 추가.
- TeleGuard Contacts | iOS: TeleGuard 연락처에 대한 지원 추가.
- TeleGuard Messages | iOS: TeleGuard 메시지에 대한 지원 추가.
- TeleGuard Posts | iOS: TeleGuard 게시물에 대한 지원 추가.

◎ Updated Artifacts
- Facebook Messenger Messages | iOS: Facebook 메신저 메시지에 대한 카빙 지원이 업데이트되었습니다.
- Linux Binary Logs | Linux: 기본 Unix 타임스탬프를 확인하도록 업데이트되었습니다.
- Meta Warrant Return artifacts | Facebook/인스타그램: 메타 워런트 반환을 지원하도록 구문 분석 방법을 업데이트했습니다.
- Photos Media Information | iOS/ macOS: 해시 조각을 포함하도록 업데이트되었습니다.
- Signal, Session | iOS: Signal 및 Session에 대한 암호 해독이 업데이트되었습니다.
- Telegram | Android: 텔레그램 사용자명에 대한 구문 분석 지원이 업데이트 되었습니다.
- WeChat Accounts, WeChat Friends, WeChat Messages | Android: 위챗 계정, 위챗 친구 및 위챗 메시지에 대한 암호 해독이 업데이트되었습니다.
- WhatsApp Messages | Android: 로컬 사용자의 발신자 닉네임과 수신자 닉네임을 포함하도록 업데이트되었습니다.
- WhatsApp Messages | iOS: 그룹 메시지 발신자 및 수신자 값을 업데이트했습니다.
- Telegram Messages | Android: 메시지 첨부 파일 식별을 위한 구문 분석 지원이 업데이트되었습니다.

◎ Cloud
- 이제 모든 워런트 반환은 플랫폼에 특정한 워런트 반환 유효성 검사 대신 증거 소스 이미지의 파일 무결성 검사를 수행합니다.
- 이제 Axiom Process는 고급 데이터 보호가 활성화된 계정에서 iCloud 백업을 가져오는 기능을 지원합니다.

◎ Processing
- Axiom Process는 Magnet Graykey Fastrak 1.11과 통합하여 Magnet Graykey Fastrak에서 추출한 이미지를 자동으로 처리할 수 있습니다.
- Axiom 프로세스의 도구->설정 메뉴가 관련 설정을 함께 그룹화하도록 업데이트되었습니다.

◎ Examining
- 이제 HTML 및 Excel 보고서에 시리즈 열이 포함됩니다.
- 아티팩트 탐색기의 필터를 간소화하기 위해 필터 표시줄이 5개의 기본 필터로 통합되었습니다. 이제 드롭다운 메뉴를 통해 추가 필터에 액세스할 수 있습니다.
- 이제 Axiom Examine에서 날짜와 시간에 아티팩트를 필터링할 때 날짜/시간 값이 없는 아티팩트를 포함할 수 있는 옵션이 생겼습니다.

◎ Bug fixes
- 이전에는 데이터베이스가 잠겨 있다는 증거를 처리하는 동안 Axiom Process가 실패했을 수 있습니다. -ENGN-12761
- 이전에는 인터넷 연결에 프록시를 사용하는 경우 Axiom Process에서 CLS 라이선스를 확인하지 못했을 수 있습니다. -ENGN-12749
- 이전에는 다른 삭제된 폴더가 동일한 클러스터를 참조하는 경우 중첩된 삭제된 폴더를 찾지 못했을 수 있습니다. -ENGN-12591
- 이전에는 Axiom Process가 Bitlocker로 암호화된 파티션을 해독하지 못했을 수 있습니다. -ENGN-12557
- 이전에는 Axiom Process가 스캔에 실패하여 로그에 ImageMagick이 "디렉토리를 찾을 수 없습니다"라고 표시되었을 수 있습니다. -ENGN-12751
- 이전에는 지원 케이스 파일의 크기가 계속 늘어나면서 휴대용 케이스 생성이 완료되지 않았을 수 있습니다. -EXM-4232
- 이전에는 로드 파일 증거 소스에서 내보낸 미디어 파일이 .bin 파일로 잘못 저장되었을 수 있습니다. -EXE-913
- 이전에는 IE 캐시 레코드가 포함된 내보내기에 잘못된 날짜/시간 값이 포함되었을 수 있습니다. -EXM-4196
- 이전에는 한글 워드프로세서 문서(hwp, hwpx)에서 한글 문자를 검색할 수 없었습니다. 또한 hwpx 파일에 대한 미리보기 텍스트 인코딩도 불가능했습니다. - CARS-1177
- 이전에는 MKV 동영상을 조각할 때 파일 크기가 잘못 보고되어 조회수가 누락되는 경우가 있었습니다. -CARS-1162
- Security CVE-2019-0981: .NET Framework 또는 .NET Core가 웹 요청을 부적절하게 처리할 때 발생할 수 있는 서비스 거부 취약성을 해결했습니다. -CARS-1144
- 이전에는 여러 개의 iCloud 백업을 가져올 때 시간이 1시간을 초과하면 시간이 초과되었을 수 있습니다. -CA-2108
- 이전에는 Facebook 마켓플레이스 메시지를 수집하는 동안 오류가 발생하면 Facebook Messenger 수집이 중지되었습니다. -CA-2528
- 이전에는 Slack 내보내기에서 Slack 사용자를 선택한 후 Axiom Process가 응답하지 않을 수 있었습니다. -CA-2485
- 이전에는 Slack 내보내기의 메시지 첨부 파일을 처리할 때 Axiom Process가 응답하지 않을 수 있었습니다. -CA-2474
- 이전에는 대규모 Slack 내보내기(사용자 3만 명)에서 사용자를 검색할 때 Axiom Process가 응답하지 않는 경우가 있었습니다. -CA-1322
- 이전에는 유효하지 않은 Google 테이크아웃이 로드된 경우 Axiom 프로세스가 충돌했을 수 있습니다. -CA-1845

◎ Known issues
- 알려진 문제에 대한 정보를 검색하려면 support.magnetforensics.com 에 있는 기술 자료를 방문하십시오.

Magnet Axiom 8.6.0.42282 October 22, 2024 Release notes

◎ New Artifacts
- IME 제안 - Google 일본어 입력 | 컴퓨터: Google 일본어 입력 방법에 대한 구문 분석 지원이 추가되었습니다
- Samsung Rubin Application Usage | Android: 삼성 루빈 애플리케이션 사용법에 대한 구문 분석 기능이 추가되었습니다.
- Samsung Rubin Charging Connections | Android: 연결 시간 및 장소와 같은 충전 연결에 대한 정보에 대한 지원이 추가되었습니다.

◎ Updated Artifacts
- Outlook Emails | Computer, macOS, Android, iOS, Cloud, Windows Phone: 수신자 이메일 주소를 포함하도록 업데이트되었습니다.
- Cloud IMAP/POP Emails, Cloud Outlook Mail | Cloud: 수신자 이메일 주소를 포함하도록 업데이트되었습니다.
- Samsung Customization Service Charging Connections | Android: 각 로그 항목의 위치 이름, 위도, 경도 및 주소를 포함하도록 업데이트되었습니다.
- Signal Messages | iOS: 버전 7.26.1의 암호화된 메시지 미디어/첨부 파일에 대한 구문 분석이 업데이트되었습니다.
- Telegram Messages | Android: 발신자 및 수신자를 포함하도록 구문 분석을 업데이트되었습니다.
- TextNow Chat, TextNow Profile | iOS: 버전 24.25.1을 지원하도록 업데이트되었습니다.
- 최신 워런트 리턴 형식을 지원하도록 Instagram 및 Facebook 처리가 업데이트되었습니다.
- LINE Chats | Android: 버전 14.x의 스키마를 지원하도록 업데이트되었습니다.
- Samsung Places | Android: 장소 키 ID를 포함하도록 업데이트되었습니다.
- Facebook Messenger Messages | iOS: 첨부 파일에 대한 구문 분석 지원을 포함하도록 업데이트되었습니다.
- Installed Applications | Windows: CreatedDate 및 KeyLastUpdatedUTC에 대한 보다 정확한 값을 생성하도록 업데이트되었습니다.

◎ Cloud
- 이제 Axiom Process는 최신 첨부파일로 포함된 폴더와 해당 콘텐츠를 Google Chat에서 가져올 수 있습니다.
- 이제 클라우드 페이스북 메신저 메시지에 대해 보관된 채팅이 수집됩니다.
- 이제 Magnet Axiom 페이스북 비공개 타임라인 댓글을 수집하는 기능을 지원합니다.
- 최신 형식을 지원하도록 Instagram 및 Facebook의 처리가 업데이트되었습니다.

◎ Magnet.AI
- 이제 Magnet.AI는 최신 Nvidia 드라이버(및 CUDA 버전)와 호환됩니다.

◎ Copilot
- 제한된 초기 릴리스의 일부로, 동영상을 마우스 오른쪽 버튼으로 클릭하여 생성된 콘텐츠에 대해 Medex 포렌식을 사용하여 분석할 수 있습니다.
- Magnet Copilot Offline을 통해 새로운 AI 생성 콘텐츠 분류기를 사용할 수 있습니다(제한된 초기 액세스).
- Magnet Axiom 및 Magnet Axiom Cyber 8.6의 출시와 함께 마그넷 코파일럿 오프라인을 별도의 설치 프로그램으로 제한된 기간 동안 미리 사용해 볼 수 있습니다. 마그넷 코파일럿 오프라인은 로컬 Magnet.AI 서비스를 사용하여 지원되는 웹 검색 및 채팅 스레드 아티팩트에 대한 정확하고 잠재적인 관련 결과를 제공하는 질문을 해석, 검색 및 응답합니다.

◎ Processing
- 중복 항목을 방지하기 위해 해시셋을 개선했습니다.
- 이제 Comae를 사용하여 .raw 메모리 파일을 처리할 수 있습니다.
- 이제 SIGMA 규칙을 활용하여 TTP를 식별하고 MITRE ATT&CK® 프레임워크를 사용하여 Linux 증거 소스(Redhat 및 Ubuntu)를 검색하여 가능한 위협을 식별할 수 있습니다. Cyber

◎ Examining
- 이제 Magnet Review와 공유된 이메일 아티팩트에는 Axiom Examine에 표시되는 것과 유사한 HTML 헤더 정보가 포함됩니다.
- 이제 Artifacts explorer에 관련 미디어 아티팩트 카테고리가 추가되었습니다. 결과를 자동으로 필터링하여 현재 선택한 미디어 아티팩트와 동일한 해시값을 공유하는 아티팩트를 표시합니다.
- 이제 결과를 필터링할 때 필터를 컬렉션에 저장하여 재사용할 수 있는 옵션이 제공됩니다.
- 이제 마그넷 검토에서 'Add to Case'를 선택하면 제공된 사례 번호가 기존 마그넷 검토 사례에 추가되는지, 아니면 새로운 마그넷 검토 사례를 생성하는지를 표시합니다.

◎ Bug fixes
- Security - CVE-2024-0056: 클라이언트와 서버 사이에 중간자(MITM) TLS 취약점이 있는 전이적 종속성 문제를 해결했습니다. 이 경로는 Magnet Axiom에서는 액세스할 수 없었지만, 향후 발생할 수 있는 모든 위험과 사용을 해결했습니다. -ENGN-11367
- Security - CVE-2024-5535 and CVE-2023-5363 - iOS 추출을 위해 물리적 USB 장치를 통한 로컬 통신을 암호화하는 데 사용되는 libssl 라이브러리를 업그레이드. 이는 OpenSSL(https://openssl-library.org/news/vulnerabilities-3.1/)에 따라 보통 및 낮은 심각도입니다. ENG-12386
- 이전에는 일부 임시 파일이 처리 완료 후에도 제거되지 않았습니다. 참고: 일부 임시 파일은 처리 후에도 여전히 존재할 수 있습니다. -ENGN-12398
- 이전에는 보고서를 저장하려고 할 때 Axiom Examine이 충돌했을 수 있습니다. -EXM-4130
- 이전에는 Magnet Review의 온프레미스 인스턴스에 업로드하려고 할 때 Axiom Examine의 오프라인 인스턴스가 충돌했을 수 있습니다. -EXM-4102
- 이전에는 보고서 내에 내장된 그림이 클라우드 리소스에 호스팅된 경우 Axiom Examine에서 보고서를 생성하지 못했을 수 있습니다. -EXM-4068
- 이전에는 Axiom Examine에서 Facebook 워런트 반품을 처리한 후 채팅 스레드를 생성하지 않았을 수 있습니다. -EXM-4169
- 이전에는 Android SMS/MMS 조회가 여러 첨부 파일이 있는 조회의 첫 번째 첨부 파일만 복구했습니다. 이제 여러 첨부 파일을 복구할 수 있습니다. -MARS-2366
- 이전에는 암호화된 백업 위치에서 Android WhatsApp 통화가 중복되는 경우가 있었습니다. -MARS-2552
- 이전에는 Magnet Axiom에서 EML 파일을 구문 분석할 때 일부 이메일을 놓쳤을 수 있습니다. -CARS-1067
- 이전에는 Windows용 사용자 계정 아티팩트에서 16진수 값과 달리 비밀번호 필요 값이 True로 표시되었을 수 있습니다. -CARS-609
- 이전에는 WhatsApp 메시지(iOS)가 메시지 채팅 스레드 및 메시지에 통화를 표시하지 않았습니다. -MARS-2505
- 이전에는 메타 워런트 리턴즈에서 html 파일을 완전히 처리하지 않았습니다. -CLA-97
- 이전에는 전제 조건 검사 실패로 인해 Axiom 프로세스가 Gmail을 성공적으로 구문 분석하지 못했을 수 있습니다. -CA-1777
- 이전에는 Facebook Messenger 메시지로 Facebook Marketplace 메시지를 획득하지 못했습니다. -CA-2261
- 이전에는 Slack 내보내기를 처리하는 데 예상보다 시간이 오래 걸렸을 수 있습니다. -CA-2438
- 이전에는 Slack 내보내기를 처리할 때 구성원 추가 옵션이 응답하지 않을 수 있었습니다. -CA-2469
- 이전에는 Slack 내보내기에서 Slack 사용자를 선택한 후 Axiom Process가 응답하지 않을 수 있었습니다. -CA-2485
- 이전에는 편집 선택 항목이 수정된 경우 Box.com에서 파일을 가져오지 못했습니다. -CA-2464
- 이전에는 설치된 애플리케이션(macOS)을 구문 분석할 때 예외가 발생하여 아티팩트가 완전히 처리되지 않았을 수 있습니다. -CARS-1064
- 이전에는 Magnet Axiom이 EML 파일을 구문 분석할 때 일부 이메일을 놓쳤을 수 있습니다. -CARS-1067
- 위챗 메시지, iOS의 채팅 스레딩 문제를 수정하도록 업데이트되었습니다. -MARS-2531
- WhatsApp Calls, iOS에 대한 null 값 구문 분석 문제를 해결하도록 업데이트되었습니다. -MARS-2531
- 이전에는 Chrome 로그인 암호 해독에 성공하지 못했을 수 있습니다. -CARS-1082

◎ Known issues
- 알려진 문제에 대한 정보를 검색하려면 support.magnetforensics.com 에 있는 기술 자료를 방문하십시오.

FTK ACE로 알려진 Exterro ACE(AccessData Certified Examiner) 자격증은 Exterro 社의 Forensic Toolkit(FTK)에 대한 숙력도를 입증하는 자격증 중 하나입니다. 시험시간은 180분, 온라인 객관식 25문제이고, 2번의 기회가 있습니다. 시험을 등록하면 증거파일을 다운받아 분석하여 정답을 체크하면 되는데, 문제의 답을 체크하지 않고 넘어가면 해당 문제로 다시 되돌아갈 수 없기 때문에 주의하시기 바랍니다. 100점 환산기준 80점이 넘으면 합격입니다. 비용은 동글이 있는경우 $100이며, 동글이 없는경우 $250 으로 Forensic Toolkit이 설치된 가상머신에 8시간동안 원격접근권한을 제공받아 시험을 볼 수 있습니다. 갱신개념이 없다보니 2년 후마다 재시험을 봐야합니다.

Magnet Axiom 8.4.0.41469 August 15, 2024 Release notes

◎ New artifacts
- Discord Local Storage | Computer
- Input Method Editor | iOS, macOS
- System Logs | Linux
- Linux Logs - auditd | Redhat
- Linux Logs - auditd | Ubuntu
- Samsung Customization Service - Motion Logs | Android
- Samsung Customization Service - Location Logs | Android
- SMS/MMS/iMessage | iOS: Added carving support to recover sender and recipient nickname fragments.
- WhatsApp | iOS, Android: Added parsing support for WhatsApp Calls.
- Session Messages | iOS: Added parsing support for iOS Session Messages.

◎ Updated artifacts
- Android Messages | Android: 첨부파일 처리를 개선하고 썸네일을 보존하기 위해 구문 분석 지원이 업데이트되었습니다.
- Slack | iOS: 새로운 스키마에 대한 구문 분석 기능이 업데이트되었습니다. (계정, 채널 메시지, 채널, 쪽지, 사용자).
- Facebook Account Actions (Warrant Return) | 새로운 Facebook Warrant 형식을 지원하도록 처리를 업데이트했습니다.
- Facebook Friend Requests (Warrant Return) | 새로운 Facebook Warrant 형식을 지원하도록 처리를 업데이트했습니다.
- Facebook Friends (Warrant Return) | 새로운 Facebook Warrant 형식을 지원하도록 처리를 업데이트했습니다.
- Facebook Messenger Messages (Warrant Return) | 새로운 Facebook Warrant 형식을 지원하도록 처리를 업데이트했습니다.
- Facebook Wallpost (Warrant Return) | 새로운 Facebook Warrant 형식을 지원하도록 처리를 업데이트했습니다.
- Facebook Messenger End-to-End Encrypted Chat Attachments | Android: 첨부파일 복구를 포함하도록 구문 분석 지원이 업데이트되어 암호화된 메시지와 첨부파일을 일관되게 처리할 수 있습니다.
- KakaoTalk | Android: 구문 분석 지원이 업데이트되었습니다: 카카오톡 채팅방, 카카오톡 통화, 카카오톡 메시지.
- KakaoTalk | iOS : Updated to support KakaoTalk version 9.5.2.
- LINE | Android: LINE 연락처에 대한 구문 분석 지원이 업데이트되었습니다.
- Linux Logs - auditd | Redhat, Ubuntu
- Windows Event Log | Updated parsing to recover missing hits.
- SMS/MMS/iMessage | iOS: 발신자 및 수신자 닉네임 조각을 복구할 수 있는 조각 지원이 추가되었습니다.
- SMS/MMS/iMessage | iOS: 구문 분석 지원을 단일 헌터로 통합하여 데이터 복구를 개선했습니다.
- TeleGuard Messages | Android: 업데이트된 구문 분석 지원을 통해 단일 TeleGuard 메시지에서 여러 첨부 파일을 복구할 수 있습니다.
- WhatsApp Messages | iOS: 수집 중에 iCloud 백업 데이터를 올바르게 추출할 수 있도록 구문 분석 지원이 업데이트되었습니다.
- WhatsApp Messages | iOS: WhatsApp 발신자 및 수신자 데이터의 불일치를 해결하기 위해 구문 분석 및 조각 지원이 개선되었습니다.
- WhatsApp | 중복 히트를 제거하기 위해 구문 분석이 업데이트되었습니다.

◎ Cloud
- Magnet Axiom은 이제 다음과 같은 페이스북 메신저 메시지 유형을 수집할 수 있습니다: 텍스트, 이모티콘, 스티커, 이미지, 파일. 동영상 및 오디오 메시지의 조회수에는 [동영상 클립] 또는 [오디오 클립]과 같은 자리 표시자 값이 포함되지만 미디어는 포함되지 않습니다.
- Magnet Axiom은 이제 Facebook 비공개 타임라인 댓글과 친구를 획득할 수 있습니다.
- Magnet Axiom은 이제 Facebook 공개 친구를 얻을 수 있습니다.
- Magnet Axiom은 이제 Facebook 공개 프로필을 획득할 수 있습니다.

◎ Processing
- Magnet Axiom Cyber는 MITRE® ATT&CK 프레임워크를 이용하여 TTP를 식별하는 시그마 규칙 사용이 가능합니다.
- 이미지 내 .zip 아카이브의 콘텐츠를 로드하고 표시하는 시간이 단축되었습니다.

◎ Examining
- 세계 지도 미리 보기 창에서 외부 애플리케이션의 위치를 열 수 있습니다.
- 파일을 마우스 오른쪽 버튼으로 클릭하고 파일 시스템 탐색기에서 '폴더로 이동'을 선택할 수 있습니다.

◎ Bug fixes
- Axiom 프로세스가 일부 Discord Chat 데이터를 복구하지 못했을 수 있습니다. -CARS-1035
- Facebook Warrant Return 형식 변경으로 인해 Facebook Warrant Return을 처리할 수 없었습니다. -CLA-48
- Google Warrant 반환에 UTFT8 인코딩이 지원되지 않았습니다. -CLA-43
- Instagram Warrant 반환으로 인해 Facebook Warrant 조회 수가 증가했을 수 있습니다. -CLA-76
- 경우에 따라 Axiom Process는 Facebook 공개 활동 타임라인 게시물의 첫 페이지만 가져옵니다.. -CA-2199
- 대량의 iCloud 사진 컬렉션을 가져오는 데 잘못된 세션이 표시되어 실패했을 수 있습니다. -CA-2217
- 원격 호스트에 의해 기존 연결이 강제로 닫혔다는 메시지가 표시되어 iMessage 가져오기에 실패했을 수 있습니다. -CA-2246
- 메타데이터 파일 수집을 시도하는 동안 500 내부 서버 오류로 인해 iCloud 수집이 실패했을 수 있습니다. -CA-1994
- 최신 암호화된 메가 계정 획득이 자동으로 실패했을 수 있습니다. -CA-1879
- 글로벌 세션 오류로 인해 iCloud 드라이브 가져오기가 실패했을 수 있습니다. -CA-2175
- 일부 Facebook Timeline 게시물이 Axiom Examinate에서 올바르게 표시되지 않는 문제가 있었습니다. -CA-2179
- 페이스북 비공개 프로필을 획득할 수 있습니다. -CA-2332

◎ Known issues
- 알려진 문제에 대한 정보를 검색하려면 support.magnetforensics.com 에 있는 기술 자료를 방문하십시오.

◎ 침해사고가 발생한 동작중인 시스템에서 로그수집을 위한 고려사항
> 가급적 원격접속이 아닌 로컬에서 작업 권장
> 활성데이터(비휘발성데이터 + 휘발성데이터) 수집(사전 수집목록 정리 필요)
> 빠르게 수집하기 위해 스크립트나 툴을 이용하여 파일로 저장(사전 다양한 운영체제에서 테스트 완료 필요)
> 메모리덤프 수집여부 결정(사전 다양한 운영체제에서 덤프프로그램 사전 테스트 완료 필요)
> 외부저장장치에 수집한 데이터를 저장(로컬 시스템에 저장한 후 복사나 이동이 아닌 외부저장장치에 직접 저장)
> 디지털포렌식 고려 시 모든 작업내용관련 시간과 내용 기록

> 평소 지속적인 연습 필요

Magnet Axiom 8.3.0.41085 July 16, 2024 Release notes

◎ New artifacts
- Eufy Cached Media | Android
- Signal Groups | iOS
- WeChat Accounts | Android

◎ Updated artifacts
- Eufy | iOS: 더 많은 사용자 정보를 복구할 수 있도록 지원 업데이트.
- iOS Home Screen Items | iOS: iOS 17 이상 디바이스에서 홈 화면 항목의 변경 사항을 처리하기 위해 구문 분석 기능 업데이트
- Facebook | All: HTML 형식의 Facebook 데이터 다운로드(DYD) 내보내기를 포함하도록 구문 분석 지원 업데이트

◎ Cloud
- HTML 형식의 Facebook 데이터 다운로드(DYD) 내보내기를 지원합니다
- Facebook 비공개 타임라인 이미지 앨범과 더 많은 텍스트를 수집할 수 있습니다.
- Facebook 공개 타임라인을 수집할 수 있습니다.
- Google 채팅 쪽지 및 Google 스페이스 수집을 지원합니다.

◎ Examining
- 의도치 않게 닫히는 것을 방지하기 위해 미디어 분류 프롬프트가 표시된 후에도 Axiom Examine은 계속 열려 있습니다.
- MFT 구문 분석에서 키워드 검색이 지원됩니다. (AXIOM Cyber)
- 마우스 오른쪽 단추를 클릭하고 파일 시스템 탐색기의 항목을 축소하여 워크플로우를 최적화합니다.
- 위치 데이터를 마우스 오른쪽 버튼으로 클릭하여 Magnet Axiom에서 직접 Google Maps와 같은 외부 소스와 함께 볼 수 있습니다.
- 데이터를 정확하게 검색하고 표시하기 위해 헤더를 기반으로 Discord Warrant Return Process 정보가 구성됩니다.

◎ Bug fixes
- .zip 파일 내의 파일에서 날짜를 구문 분석하는 동안 Axiom 프로세스 충돌. -ENGN-11620
- 빈 장치가 획득되어 null 값이 있는 곳에서 충돌 또는 실패 발생. -ENGN-11003
- 이미지 획득에 포함할 개별 파일을 선택할 때 Axiom Process는 선택한 파일을 이미지에 포함하지 못함 -ENGN-11206
- Android 디바이스는 iSerial 속성이 수정된 경우 모바일 수집 중 증거 소스로 선택되지 않을 수 있습니다. 이는 공격자가 명령 인젝션 취약점을 악용하는 것을 방지하기 위한 조치입니다. -ENGN-11954
- Facebook .html 미리보기가 적절한 웹사이트 스타일링과 함께 표시되지 않음. -EXM-3717
- 관련 아티팩트를 탐색한 후 열 필터가 올바르게 재설정되지 않음. -EXM-3492
- 모바일 보기 드롭다운 필터를 선택하면 증거 드롭다운 필터의 변경 사항이 모두 취소되며, 그 반대의 경우도 마찬가지로 취소됨. -EXM-3680
- 번역 모듈이 처음 열린 Examine 인스턴스에서만 작동. -EXM-3801
- Security - CVE-2024-4741: OpenSSL 버전 1.1.1에 영향을 미치는 취약점 해결. -IL-606
- QR 코드를 통해 WhatsApp 메시지를 받으면 응답하지 않는 화면 표시. -CA-2172
- Discord Warrant Return 타임스탬프에 잘못된 날짜와 시간이 표시. -CLA-35
- Gmail 메일에 일관되지 않은 발신자 및 수신자 정보 표시. -MARS-2056
- Android 메시지의 잘못된 첨부 파일이 미리보기 표시. -MARS-2351
- Windows 이벤트 로그를 구문 분석할 때 여러 데이터 태그가 하나로 결합되어 잘못된 XML 생성. -CARS-946
- iMessage macOS 데이터베이스의 특정 메시지가 올바르게 구문 분석되지 않는 문제. -CARS-722
- Edge 아티팩트 아래에 있는 Options(옵션) 버튼을 사용해도 프롬프트가 표시되지 않음. -CARS-960
- Facebook의 데이터 다운로드 증거 컬렉션에서 HTML 메시지를 처리할 때 오류 생성. -CA-1318
- WhatsApp QR 코드 수집을 수행할 때 Axiom Process가 응답하지 않음. -CA-2103
- Box.com 수집을 수행하는 동안 프로세스 시간 초과. -CA-254

◎ Known issues
- 알려진 문제에 대한 정보를 검색하려면 support.magnetforensics.com 에 있는 기술 자료를 방문하십시오.

마그넷 엑시엄은 USB 동글 키를 사용하여 라이센스를 보호하고 있습니다.
USB 동글 키 내 파일을 삭제하면 복구받을 수 있으나,
USB 동글 키 자체를 잊어버리며 복잡해진다고 하니 분실하지 않도록 주의해야 겠습니다.

USB 동글 키를 빼서 뒤집어보면 고유번호가 각인되어 있습니다.

이전다음

012345

 
디지털 포렌식 분야는 빠르게 변화하고 있으며, 이 과정에서 전문가들은 점점 더 많은 데이터를 분석해야 하는 도전에 직면하고 있습니다. 이때, 마그넷 엑시엄(MAGNET AXIOM)은 디지털 포렌식 전문가들에게 강력한 도구로 자리매김하고 있으며, Forensic 4:cast 2023 Award DFIR 상업용 도구 투표에서 2017년부터 2023년까지 7년째 1등을 하고 있습니다. 이 블로그 글에서는 마그넷 엑시엄의 주요 기능과 장점을 소개하고, 왜 이 도구가 디지털 포렌식 조사에서 중요한 역할을 하는지 설명해 보겠습니다.

◎ 마그넷 엑시엄이란?
마그넷 엑시엄은 Magnet Forensics에서 개발한 디지털 포렌식 소프트웨어입니다. 이 도구는 컴퓨터, 모바일 장치, 클라우드 서비스 등 다양한 디지털 소스에서 데이터를 수집, 분석 및 보고하는 데 사용됩니다. 사용자 친화적인 인터페이스와 강력한 분석 기능을 통해, 디지털 증거를 효율적으로 찾아내고 해석하는 데 도움을 줍니다.

◎ 주요 기능
1. 광범위한 데이터 수집:
마그넷 엑시엄은 컴퓨터와 모바일 장치에서 데이터 수집을 지원하며, 이를 통해 파일 시스템, 메모리 덤프, 네트워크 트래픽 등 다양한 데이터 소스를 분석할 수 있습니다.
또한 클라우드 서비스에서 데이터를 수집할 수 있어, 현대 디지털 환경에서 발생하는 다양한 사건에 대응할 수 있습니다.

2. 강력한 분석 도구
데이터 카빙(Data Carving)을 통해 삭제되거나 숨겨진 데이터를 복구할 수 있습니다.
타임라인 분석 기능을 통해 사건의 전후 상황을 명확히 파악할 수 있습니다.
키워드 검색, 해시 매칭, 이미지 분석 등 다양한 분석 기법을 지원하여 포렌식 조사에 필요한 모든 데이터를 철저히 분석할 수 있습니다.

3. 보고서 생성 및 공유
마그넷 엑시엄은 포렌식 조사 결과를 다양한 형식으로 보고서를 생성할 수 있습니다.
보고서에는 발견된 증거, 분석 결과, 타임라인 등 모든 관련 정보를 포함할 수 있어, 법정에서도 유효한 증거로 활용할 수 있습니다.
공유 기능을 통해 팀 내 협업을 쉽게 할 수 있습니다.

4. 사용자 친화적 인터페이스:
직관적인 사용자 인터페이스를 통해, 복잡한 포렌식 작업도 쉽게 수행할 수 있습니다.
초보자부터 전문가까지 모두가 쉽게 사용할 수 있도록 설계되었습니다.

◎ 마그넷 엑시엄의 장점
효율성: 한 번의 수집으로 다양한 데이터 소스를 분석할 수 있어 시간과 노력을 절약할 수 있습니다.
정확성: 강력한 분석 도구를 통해 높은 정확도의 결과를 도출할 수 있습니다.
확장성: 다양한 디지털 소스와 포렌식 기법을 지원하여, 어떤 사건에도 유연하게 대응할 수 있습니다.
신뢰성: 법적 효력이 있는 보고서를 생성할 수 있어, 법정에서도 신뢰할 수 있는 증거로 사용할 수 있습니다.

◎ 결론
마그넷 엑시엄은 디지털 포렌식 전문가들에게 필수적인 도구로, 효율적이고 정확한 조사와 분석을 가능하게 합니다. 디지털 증거 수집부터 분석, 보고서 생성까지 모든 과정을 아우르는 마그넷 엑시엄을 통해, 디지털 포렌식 조사를 한층 더 효과적으로 수행할 수 있습니다.

디지털포렌식과 사고대응(DFIR, Digital Forensic and Incident Response)에 대해서 개인적인 생각을 정리해 봤습니다.
먼저 국가법령정보센터에서 디지털포렌식를 찾아보니
전자정보를 수집ㆍ보존ㆍ운반ㆍ분석ㆍ현출ㆍ관리하여 범죄사실 규명을 위한 증거로 활용할 수 있도록 하는 과학적인 절차와 기술을 말한다.
라고 정의되어 있습니다.

정의와 관련해서 정리하면 디지털포렌식은 주로 수사관 분들이 사용하던 기술이죠.
개인적인 생각으로는 국외나 국내 수사관 출신분들이 다양한 직군에 포진하면서 디지털포렌식 대중화(?)에 기여하신 것은 아닌지 싶습니다.
아무튼 회계감사 분야에서 디지털포렌식을 사용하기도 하고, 침해사고 대응과 관련해서도 법적 분쟁 발생 시 법원에서 디지털포렌식을 통해 제출된 자료에 대해서만 법적 증거력 인정을 받는 부분이 있다 보니 디지털포렌식을 사용하기도 합니다.

국내 디지털포렌식 단체와 관련된 내용을 찾아보니 아래와 같습니다.

2003년 사이버포렌식전문가협회(KCFPA) 설립
2006년 한국디지털포렌식학회(KDFA) 설립
2009년 디지털포렌식산업포럼 출범
2010년 (사)한국포렌식학회(KAF) 설립
2013년 법무부와 한국포렌식학회의 공동 주최로 제1회 국가공인 디지털 포렌식 전문가 2급 자격시험 시행
2013년 디지털포렌식전문가 검정시험 국가 공인
2013년 디지털 포렌식 전문가 1급 자격시험 시행
2016년 (사)한국디지털포렌식전문가협회(KDFPA) 설립

디지털포렌식은 무결성에 문제가 발생하지 않도록 이미징만 수행하면 무료솔루션으로도 가능하지만 앞선 말씀드린 것과 같이 현재까지 법정에서 증거력 인정을 받은 솔루션은 오직 Encase 뿐이다 보니 상용이든 무료이든 그 외 솔루션은 무의미해집니다. 관련해서 디지털포렌식 후발주자로 엄청난 편의성을 제공하고 있는 Magnet AXIOM이 아직 법원에서 공식적인 증거력 인정을 받지 못하고 있다 보니 수사관분들이 Magnet AXIOM으로 분석해서 Encase에서 분석한 것처럼 문서를 만들고 법원에 자료를 제출한다고 합니다. 또한 국내 디지털포렌식 자격시험 시에도 Magnet AXIOM은 사용 불가라고 하죠. 디지털포렌식 솔루션이 발전해도 시험은 과거에 머무는 것은 아닌지 아쉽습니다.

디지털포렌식을 사용한다는 건 저장장치 이미징을 먼저 수행해야 되는데, 무조건 시스템 전원을 차단시켜야하죠. 이 때 무결성이 깨지지 않도록 쓰기방지 장치를 통해 이미징을 수행해야하는데, 무결성 때문에 이미징 수행 전 라이브 시스템에서 휘발성 증거를 수집하는 것이 디지털포렌식에 문제가 없는지 질문을 하게 되는 것 같습니다.
개인적으로 이미징 수행 전 휘발성 증거 수집 시 수집 방법과 도구, 수집 시간, 수집한 데이터의 위치와 보관 방법, 수집된 데이터의 무결성 검사 등 모든 단계와 결정이 정확하게 기록되어 문서화한다면, 이후 디지털포렌식을 수행하더라도 법원에서 증거력 인정을 받을 수 있지 않을까 생각해 봅니다.
 
근데, 대부분의 침해사고가 발생한 기업의 경우 보안에 최선을 다했다는 소명에 집중하지, 분석 결과 해커가 국내 B사를 해킹하여 손해를 입혔는데 국내 A사를 통해 경유한 흔적이 확인되었다고, B사가 A사에게 손해배상청구 고소ㆍ고발한 사건이 있는지와 과연 앞으로도 그렇게 손해배상청구 고소ㆍ고발 건이 발생할지 생각해 볼 때 낮다라는 생각이 들긴 합니다. 

아무튼, 전원을 차단하는 것과 관련해서 어떤 서비스담당자는 서버에서 스크립트를 실행하는 것조차 문제 발생 시 책임지겠다는 각서를 쓰라고도 하죠. 그렇다 보니 침해사고가 발생한 시스템이 대고객 서비스라고 가정했을 때, 수사기관 요청이 아닌 자체 정보보호팀에서 디지털포렌식 목적으로 이미징을 수행하기 위해 서버를 종료해야 된다고 했을 때 과연 얼마나 많은 서비스담당자나 관련 직책자들이 시스템 종료 결정을 내릴지 의문이 들기도 합니다.
 
디지털포렌식이 대중화(?)되기 전 침해사고대응은 라이브 시스템에서 빠르게 휘발성/비휘발성 증거를 수집하기 위해 스크립트를 이용하거나 로그를 분석했죠. 그래서 다양한 운영체제와 환경에서 테스트 되어 문제가 발생하지 않는 스크립트라고 한다면, 또한 손해배상청구 고소·고발 건에 대응 하기 위한 것이 아니라면, 라이브 시스템에서 휘발성/비휘발성 증거를 수집하여 분석하는 것도 원인을 파악하고 대응 방안을 마련할 수 있는 가이드를 제시할 수 있다고 생각이 듭니다.

마무리를 지어보자면, 침해사고분석에 있어서는 디지털포렌식이 만능은 아니다 입니다.
시스템관련 보안이 지속적으로 강화되다보니 취약한 시스템을 직접 공격하던 방법이 어려워지자, 사용자PC를 감염시켜 시스템에 접근하는 사고사례가 많아져 시스템보다는 사용자 PC에 대한 디지털포렌식이 주를 이루는 것 같습니다.
다운로드 되었으나 실행 후 삭제된 악성코드 관련 정보 분석은 디지털포렌식이 필요하겠지만, 라이브 상태에서 메모리덤프를 수행했다면 실제 악성코드 분석이 가능하겠죠. 파일리스 악성코드 분석 또한 라이브 상태에서 메모리덤프 수행이 필요하겠죠. 단편적으로 놓고 본다면 수사/감사기관에서의 디지털포렌식은 사용자PC에서 증거인멸을 복구하는 관점이었고 침해사고분석은 서버라면 어떤 취약점으로 어떻게 공격이 들어와서 무슨 피해가 발생했나, 사용자PC라면 어떤 취약점으로 어떻게 악성코드에 감염되서 무슨 피해가 발생했나로 볼 수 있겠습니다.
디지털포렌식이 대중화(?)되면서 디지털포렌식을 우선시하다보니 법정에서 증거력 인정을 받기 위해 무결성을 훼손하지 않아야 한다는 이유로  실행 중인 상태에서 휘발성 정보를 저장하는 것을  패스하지 않았으면 합니다. 앞서 말씀드린 대로 모든 단계를 기록하여 문서화하고 디지털포렌식을 위한 이미징을 수행하면 좋겠다는 생각이 듭니다. 디지털포렌식의 장점과 침해사고분석의 장점을 조화롭게 사용할 수 있는 노하우가 필요해 보입니다.

MCFE(Magnet Certified Forensics Examiner)는 마그넷 엑시엄(MAGNET AXIOM) 제품을 사용하여 디지털포렌식(Digital Forensic) 역량을 입증하는 자격증 중 하나입니다.
 
시험시간은 120분, 2023년 기준 온라인 객관식 75문제이고, 2번의 기회가 있으며, 100점 환산기준 80점이 넘으면 합격입니다.
시험을 등록하면 메일로 시험관련 링크를 받을 수 있습니다.
로그인해서 마그넷 엑시엄(MAGNET AXIOM) 제품을 다운받아 설치하고
증거파일을 다운받아 분석하여 정답을 체크하면 됩니다.
2년마다 갱신해야되는데, 자격증에 관리번호가 없다는게 조금 신기합니다.