Journal of Platform Technology

ICT Platform Society (ICT플랫폼학회)
권호 표지

A Study On Artifacts Analysis In Portable Software

무 설치 프로그램에서의 사용자 행위 아티팩트 분석

  • 허태영 (아주대학교 사이버보안학과) ;
  • 손태식 (아주대학교 사이버보안학과 )
  • Received : 2022.12.15
  • Accepted : 2022.12.26
  • Published : 2023.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Non-installation program (hereinafter referred to as "portable program") is a program that can be used without an installation process, unlike general software. Since there is no separate installation process, portable programs have high mobility and are used in various ways. For example, when initial setup of multiple PCs is required, a portable program can be stored on one USB drive to perform initial setup. Alternatively, when a problem occurs with the PC and it is difficult to boot normally, Windows PE can be configured on the USB drive and portable programs can be stored for PC recovery. And the portable program does not directly affect PC settings, such as changing registry values, and does not leave a trace. This means that the portable program has high security. If a portable program is deleted after using it, it is difficult to analyze behavior in a general way. If a user used a portable program for malicious behavior, analysis in a general way has limitations in collecting evidence. Therefore, portable programs must have a new way of behavioral analysis that is different from ordinary installation software. In this paper, after installing the Windows 10 operating system on a virtual machine, we proceed with the scenario with a portable program of Opera and Notepad++. And we analyze this in various ways such as file analysis of the operating system and memory forensics, collect information such as program execution time and frequency, and conduct specific behavioral analysis of user.

무 설치 프로그램(이하 '포터블 프로그램'이라 한다.)은 일반적 소프트웨어와는 다르게 설치과정 없이 사용할 수 있는 프로그램이다. 별도의 설치 과정이 없기 때문에 포터블 프로그램은 높은 이동성을 가지며 다양하게 활용된다. 예를 들어, 다수의 PC의 초기 설정이 필요할 때 하나의 USB 드라이브에 다양한 포터블 프로그램을 저장하여 초기설정을 할 수 있다. 또는 PC에 문제가 발생하여 정상적인 부팅이 어려울 때 USB 드라이브에 Windows PE를 구성하고 저장된 포터블 프로그램으로 PC 복구에 사용될 수 있다. 그리고 포터블 프로그램은 레지스트리 값 변경 등 PC 설정에 직접적인 영향을 끼치지 않으며 흔적을 남기지 않는다. 이는 다시 말해, 포터블 프로그램이 높은 보안성을 가진다는 것을 의미한다. 포터블 프로그램을 사용 후 삭제하면 일반적인 방식으로의 행위분석에 어려움이 존재한다. 만약 사용자가 악성 행위에 포터블 프로그램을 사용하였다면 일반적인 방식으로의 분석으로는 증거 수집에 한계가 따른다. 따라서 포터블 프로그램은 일반적인 설치 소프트웨어와는 다른 새로운 방식의 행위분석이 이루어져야 한다. 본 논문에서는 가상머신 상에서 Windows 10 운영체제를 설치한 후 Opera, Notepad++의 포터블 프로그램으로 시나리오를 진행한다. 그리고 이를 운영체제의 파일분석, 메모리 포렌식 등의 다양한 방법으로 분석하여, 프로그램 실행시간, 횟수 등의 정보를 수집하고, 사용자의 구체적 행위분석을 실시한다.

Keywords

References

  1. Remote control and mining malicious code distribution warning targeting illegal Windows users, https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=32259
  2. "Ghosts in USB memory that have survived for 10 years", https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29429
  3. AhnLab Security Magazine, Special Report "Intensive Analysis of Ransomware, the Incarnation of Cruel Evil, https://www.ahnlab.com/kr/site/securityinfo/newsletter/magazine.do?letterNo=201002,(December 2015)
  4. "Portable Executable File Infecting Malware Is Increasingly Found in OT Networks", https://www.mandiant.com/resources/blog/pe-file-infecting-malware-ot
  5. "[Caution] Hacking program disguised as a fake HWP2018 non-installation certification board", https://blog.alyac.co.kr/1431
  6. Jong-Hyun Choi, Keun-Gi Lee, Jung-Heum Park, Sang-Jin Lee, "Method of Detecting to Artifacts of Portable Web Browser" Journal of Digital Forensics 6.1 pp.1-10 (2012) : 1
  7. Moon-Ho Kim, Sang-jin Lee. (2015). Method of estimating the deleted time of applications using Amcache.hve. Journal of the Korea Institute of Information Security & Cryptology, 25(3), pp. 573-583. https://doi.org/10.13089/JKIISC.2015.25.3.573
  8. M. Hariharan, A. Thakar and P. Sharma, "Forensic Analysis of Private Mode Browsing Artifacts in Portable Web Browsers Using Memory Forensics," 2022 International Conference on Computing, Communication, Security and Intelligent Systems (IC3SIS), pp. 1-5 (2022).
  9. Andrew Case, Golden G. Richard, Memory forensics: The path forward, Digital Investigation, Volume 20, 2017, pp. 23-33. https://doi.org/10.1016/j.diin.2016.12.004
  10. "Portable software for USB, portable, and cloud drives", https://portableapps.com
  11. N. Shashidhar and D. Novak , "Digital Forensic Analysis on Prefetch Files", International Journal of Information Security Science, vol. 4, no. 2, pp. 39-49, Jun. 2015.
  12. Kritarth Y. Jhala, A. Anisetti, 2015, Forensic Analysis of Jump Lists in Windows Operating System, INTERNATIONAL JOURNAL OF ENGINEERING RESEARCH & TECHNOLOGY (IJERT) Volume 04, Issue 03 (March 2015),
  13. A. Neyaz, N. Shashidhar, C. Varol and A. Rasheed, "Digital Forensics Analysis of Windows 11 Shellbag with Comparative Tools," 2022 10th International Symposium on Digital Forensics and Security (ISDFS), Istanbul, Turkey, 2022, pp. 1-10
  14. A. Marrington, I. Baggili, T. A. Ismail and A. A. Kaf, "Portable web browser forensics: A forensic examination of the privacy benefits of portable web browsers," 2012 International Conference on Computer Systems and Industrial Informatics, Sharjah, United Arab Emirates, 2012, pp. 1-6.
  15. Trojan:Win32/Radonskra, https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Radonskra
  16. O sterud Aleksander, Arnes Andre, Franke Katrin, "Windows 10 Memory Compression in Digital Forensics - Uncovering Digital Evidence in Compressed Swap", NTNU, p. 85 (2018)
  17. Forensic analysis of Windows 10 compressed memory using Volatility, https://andreafortuna.org/2019/08/01/forensic-analysis-of-windows-10-compressed-memory-using-volatility/, 2019.08.01