[기술 스터디] Plainbit_Magnet OUTRIDER 소개

Magnet OUTRIDER 소개

---

Magnet OUTRIDER란?

# Magnet Outrider는 PC나 모바일 기기의 스캔으로 특정 정보를 식별하고, 추출해 내부 콘텐츠의 빠른 분류를 목표하는 도구이다.

# 속도, 간편함을 중시하여 개발되었는데, 사용자가 수집하고자 하는 항목들을 템플릿으로 만들어 추후 다른 기기의 데이터 수집 시에 해당 설정을 그대로 사용할 수 있다.

 

 

실행 화면

1. 케이스 이름 설정
2. 스캔 템플릿 선택
3. 증거물 선택 ; 동시에 2개 이상 진행 가능

 

# 템플릿은 상세하지는 않지만 대상 장비의 전반적인 정보를 확인할 수 있는 수준의 정보를 제공한다.

 

 

템플릿 설정

 

# Scan Options

1. 템플릿 이름을 설정한다.
2. 사용할 OS 옵션을 선택한다.

Magnet OUTRIDER가 지원하는 OS Windows, OSX (macOS), Android, iOS

 

# Files & Apps Options

1. 사전 정의된 키워드 리스트를 통해 파일을 검색한다.
2. 키워드 단어가 정확히 일치하는 경우만 나열한다.
3. 사용자가 설정한 정규식에 맞게 파일을 검색한다.
4. 다크 웹, 암호화, VPN과 같은 기능을 가진 알려진 어플리케이션을 검색한다.
5. 암호 화폐 지갑, 클라우드 복호화 키 등의 중요 파일을 검색한다.
6. ZIP 파일 내부에 키워드가 일치하는 파일이 있는 지 검색한다. 해당 기능은 암호화 된 압축 파일도 검색 기능을 제공한다.
7. 우선 경로를 탐색한다. 유저 마다 이하의 모든 경로를 탐색한다.
8. 제공된 MD5 해시를 통해 파일을 검색한다.
9. NCMEC에서 제공된 CyberTipline 파일을 통해 파일을 검색한다.

Magnet OUTRIDER 우선 경로 - 브라우저 기록 폴더 - 문서 폴더 - 다운로드 폴더 - 바탕 화면 - 사진 폴더 - 영화 폴더

 

# Artifacts, Live system Options

(활성 데이터 옵션 대부분은 윈도우 운영체제만 사용할 수 있다.)

1. 제공한 키워드 리스트로 브라우저 기록을 검사한다. (제목, URL)
2. 윈도우 운영체제 아티팩트를 수집한다. 수집 정보는 이하과 같다.
3. 램을 수집한다.
4. 바탕화면 스크린샷을 저장한다. 모든 창이 최소화된다.
5. 스크린샷 촬영 전 OUTRIDER 창만 최소화한다.
6. 실행 중인 프로세스를 수집한다.
7. 연결된 네트워크 정보를 수집한다.
8. OUTRIDER가 실행 중인 장치의 IP를 수집한다.

수집 윈도우 아티팩트 - USB 연결 기록 - 최근 로그인 한 사용자 - 외부 저장장치, 라우팅, 방화벽, 저장된 Wi-Fi 정보 - 공유 드라이브 정보 - 사용자 계정 정보 - 운영체제 정보 - 설치 된 프로그램 목록 - 활성 네트워크 정보 - 예약된 작업 목록 - 윈도우 서비스 목록 - Prefetch 파일 정보 - 실행 중인 프로세스 - 접근 가능한 Wi-Fi 정보

 

# Mobile, Reporting Options

1. 키워드 일치 여부에 관계 없이 유저 정보를 수집한다.
2. 키워드 일치 여부 상관 없이 모든 MMS 첨부자료를 수집한다.
3. 키워드가 일치하는 MMS의 첨부자료를 수집한다.
4. 확장자에 관계 없이 CSAM 검출 기술을 사용해 모든 파일을 검사한다.
5. 해시, CSAM 검출에 한해 이미지 썸네일을 저장한다.
6. Magnet OUTRIDER에 의해 검출된 모든 파일 경로를 저장한다.
   해당 작업은 소요 시간 및 pathlist.exe 파일 용량의 크기를 증가 시킬 수 있다.

---

느낀점

: 포렌식을 공부하는 사람으로 포렌식 툴을 많이 알아두는 건 중요하다. 유용해보이는 툴을 이렇게 기능까지 하나하나 알 수 있어 매우 유익한 글이었다. 실제로 한 번 사용해봐야겠다.