Redline
소개
Redline은 Mandiant에서 제공하는 GUI기반 무료 메모리 분석 도구이며 Windows XP 이상의 환경에서 실행 가능하다. 프리웨어로 최근까지 활발히 업데이트되고 있다. Mandiant 홈페이지(https://www.mandiant.com/resources/download/redline) 에서 무료로 다운받아 사용 가능하다.
Malicius Activity 탐지를 위한 분석 도구이며 실행 프로세스, 파일, 레지스트리 값, 메모리 이미지 수집이 가능하다. 타임라인을 제공하여 시각적으로 이벤트들을 쉽게 분석할 수 있게 하였고, Timeframe을 통한 필터링 기능을 제공하며, Mandiant사의 White 리스트를 제공한다. 아래의 [그림 1]은 Redline의 실행 화면이다.
사용법
Redline은 다른 시스템의 메모리 이미지를 덤프하고 부가 정보를 수집해 오기 위하여 USB에 수집 파일을 만드는 Collect Data 기능과 수집한 메모리 이미지가 이미 존재할 때 분석할 수 있는 Analyze Data 기능이 존재한다. 도움말은 각 기능위에 마우스 커서를 위치하여 볼 수 있다. Collect Data는 세부항목으로 Standard Collector, Comprehensive Collector, IOC[1] Search Collector가 있다. Standard Collector는 시스템의 사용 드라이버 및 시그니처, 커널 후킹 탐지 내역, 프로세스 정보를 획득할 수 있으며 선택적으로 메모리 이미지도 획득할 수 있다. Comprehensive Collector는 쿠키, 파일 다운로드 내역 등 Standard Collector 보다 더 세부적인 정보를 수집하여 IOC Search Collector를 위한 데이터로 사용할 수 있다. Comprehensive Collector 또한 선택적으로 메모리 이미지를 획득할 수 있다. [그림 2]는 Standard Collector의 사용법에 대한 그림이다.
[그림 2]의 1번 체크박스를 클릭하여 메모리 이미지를 획득여부를 설정할 수 있다. 2번의 “열기“ 버튼을 이용하여 수집 시 이용할 파일 들이 저장될 경로를 설정할 수 있다. 경로를 설정하고 확인 버튼을 누르면 [그림 3]과 같은 창이 나타난다.
Collect Data 파일이 생성된 후 이동식 디스크에 담아 분석할 시스템에 연결한 후 ‘RunRedlineAudit.bat’을 실행하면 스크립트가 분석에 필요한 정보를 수집한다. 수집이 끝나면 Sessions/AnalysisSession의 경로에서 AnalysisSession.mans 파일이 생성된다. Redline이 설치되어 있는 환경에서 이 파일을 실행하여 메모리 분석 결과를 확인할 수 있다. 덤프한 메모리 이미지의 저장경로는 Sessions/AnalysisSession/Audits/운영체제명/시간정보 의 경로에서 확인할 수 있으며, 파일명은 ‘w32memory-acquisition.해시값’이다. Comprehensive Collector의 사용법은 Standard Collector와 동일하다. 수집 파일을 원하는 경로에 생성하고 다른 시스템에서 실행하여 데이터를 수집해 올 수 있다. IOC Search Collector는 사용자가 작성한 조건에 맞는 아티팩트를 보고서 형식으로 볼 수 있는 기능으로 악성코드와 침입자의 아티팩트를 쉽게 찾고 분석할 수 있다. IOC Search Collector를 사용하기 위해 IOC 편집기를 이용하여 원하는 조건을 만들어야 한다. IOC 편집기는 Redline에 별도로 포함되어 있지 않기 때문에 Mandiant 홈페이지 http://www.mandiant.com/resources/download/ioc-editor 에서 다운로드 하여 사용해야 한다.
Analyze Data 기능은 수집한 메모리 이미지를 이용하여 분석을 하거나 이미 분석을 완료한 파일(.mans)을 이용하여 분석 결과를 확인할 수 있다. 분석 결과의 각 항목들은 단순히 정보들이 나열된 형태이지만 Process 항목은 Redline만의 특별한 기능이 포함되어 있다. [그림 4]는 프로세스의 항목과 Tag 기능에 대한 그림이다.
프로세스 항목에서 프로세스 ID, 프로세스 경로 등의 정보를 얻을 수 있지만 Redline의 기능인 Malware Risk Index(MRI) 또한 확인할 수 있다. MRI는 악성코드로 의심되는 프로세스를 붉은색 원으로 표현하여 분석 시간을 단축시켜 준다. 또한, MRI Score는 프로세스의 악성수치를 나타내며 점수가 높을수록 악성 프로세스일 확률이 높아진다. 분석 결과의 각 항목은 태그 기능을 이용하여 가시적으로 분류할 수 있다. 태그 기능은 아티팩트를 원하는 상태로 분류할 수 있고 태그가 달려있는 아티팩트를 보고서에 추가할 수도 있다. 태그기능 외에 사용자는 문자열 검색, 필터링 옵션 또한 사용할 수 있다.
도구기능
Collect Data 기능의 Standard Collector, Comprehensive Collector, IOC Search Collector와 Anayze Data 기능이 모두 정상 작동한다. Redline은 시스템 정보 수집방법에 따라 볼 수 있는 결과의 종류도 달라진다. [표 1]은 수집방법에 따라 달라지는 분석가능 항목에 대한 내용이다.
| Memory Image | Standard Collector | Comprehensive Collector |
|---|---|---|
| 프로세스 정보 | 프로세스 정보 | 프로세스 정보 |
| 드라이버 모듈 | 드라이버 모듈 | 드라이버 모듈 |
| 디바이스 트리 | 디바이스 트리 | 디바이스 트리 |
| 후킹 | 후킹 | 후킹 |
| 타임라인 | 타임라인 | 타임라인 |
| 시스템 정보 | 시스템 정보 | |
| 파일 시스템 정보 | ||
| 레지스트리 | ||
| 윈도우 서비스 | ||
| 파일 시스템 정보 | ||
| 네트워크 정보 | ||
| 유저 정보 | ||
| 테스크 | ||
| 인터넷 기록 |
Comprehensive Collector가 다른 수집 방법에 비해 많은 정보를 가져오는 것을 알 수 있다.
제한사항
Redline은 GUI인 만큼 결과 화면 출력에 있어서 무겁고 느리다는 단점이 있다. 하지만 메모리 분석에 있어서는 분석 속도 빠르다. IOC 기능을 이용하여 시스템의 감염경로 및 악성행위를 분석하기 위해서 메모리 및 시스템, 악성코드에 대한 전문가 수준의 지식이 필요하다. 네트워크 세션에 대해서 정확한 데이터를 보여주지 못한다.
수사 활용 방안
Redline은 메모리 덤프 외에 각종 시스템 정보를 얻어 올 수 있어 악성 행위에 대한 아티팩트를 찾을 수 있고 시스템에 대한 분석이 다른 도구들에 비해 비교적 빠르다는 장점이 있다. 시스템의 정보를 수집하는 데에 많은 시간이 소요되지만 그만큼 수집 후 얻을 수 있는 정보도 방대하다. MRI 기능을 이용할 수 있는 초보자부터 메모리 및 악성 행위 판별 전문가까지 적절히 활용할 수 있는 도구이다.
주석
- ↑ Indicator of Compromise(IOC) : 여러 아티팩트를 일정한 포맷으로 정리해 놓은 파일.
