The CFReDS Project - Hacking Case 6번 (사용자 계정, SAM, SID) with autopsy

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고

1. Hacking Case 시나리오 

2. 문제 

3. 풀이

컴퓨터 계정이라, 앞서 나온 등록된 소유자랑은 조금 다르다. 일단 Live 환경에서는 아래에서 확인 가능하다.

- cmd > net user

잠시 docs.microsoft.com/ko-kr/windows/security/identity-protection/access-control/local-accounts#defaultaccount 를 빌려 설명하자면, 각 항목은 아래와 같다.

 

Administrator (SID 끝이 500)

 

DefaultAccount (SID 끝이 503)

 

Guest (SID 그룹 끝이 546)

 

 

 

 

 

레지스트리에도 관련 정보가 남는데 아래에 있다.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\profilelist

S-1-5-18 : System Profiles

S-1-5-19 : Local Service

S-1-5-20 : Network Service

 

 

또한, 여기에도 있다.

- HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

 

그리고 Autopsy 에서는 아래 위치에서 확인 가능하다.

- Result > Operating System Information > Owner

 

정답은 Evil

 

 

그리고 이제 SAM 및 SID에 대해서 좀 짚어보고 넘어가자.

마침 LSA, SAM, SRM에 대해 잘 설명되어 있는 블로그가 있다.
m.blog.naver.com/zzoyou_/222054821297

윈도우 인증과 패스워드 - LSA, SAM, SRM , SID

 

그리고 SID (보안식별자)는 MS 공식 문서를 보자.

docs.microsoft.com/ko-kr/windows/security/identity-protection/access-control/security-identifiers

보안 식별자(Windows 10) - Microsoft 365 Security

 

 

 

추가 TMI)

보통 사용자 계정은 SAM 레지스트리에 저장된다. 하지만, SAM 레지스트리에서 확인한 값과 C:\Documents and Settings\%User% or C:\Users\%User% file paths 에서 확인한 사용자 계정이 다른 경우가 존재한다. 이는 AD를 사용하고 있는 환경에서 발생할 수 있는 문제이며, 자세한 내용은 아래에서 확인 가능하다.

joshmoulin.com/domain-vs-local-accounts-in-the-windows-registry/

Domain vs. Local Accounts in the Windows Registry | JoshMoulin.com