[디지털 포렌식] GRR(Google Rapid Response) 설치 방법

GRR은 Google Rapid Response의 약자로서 원격 라이브 포렌식에 중점을 둔 침해사고 대응을 위한 프레임워크이다.

 

1. GRR 기능

- 클라이언트 주요 기능

1) 바이너리 파일을 활용해 활성 메모리 덤프파일을 생성한 뒤 서버로 송신

2) 인터넷 기반으로 데이터를 송수신 할 때 암호화하여 기밀성 제공

3) 리눅스, 맥, 윈도우 환경에서 메모리를 분석할 수 있는 Rekall 프레임워크를 사용하여, 원격지에서 활성 메모리 분석 가능

 

- 서버 주요 기능 

1) 클라이언트에 바이너리 파일을 배포하고 관리, 설치된 바이너리 파일로부터 활성 메모리 덤프파일을 수집

2) 슬루스킷(Sleuthkit, TSK)를 사용하여 운영체제 수준이나 파일 시스템 영역 등에 접근 가능

3) 다수의 클라이언트에 대한 통합 관리(일괄 검색 등) 기능 제공

4) 기본적인 보고서 생성 가능

 

-GRR 프레임워크 기능의 동작

1) 클라이언트의 활성 메모리 덤프파일을 추출하기 위해서 GRR 웹서버에 관리자 모드로 접속한다.

2) 활성 메모리 덤프파일 요청 메시지를 엔드포인트에 설치된 바이너리 파일에 송신

3) 바이너리 파일은 활성 메모리 추출 API 를 활용해 덤프 파일 생성

4) 바이너리 파일은 생성된 덤프파일을 Message queue 형태로 서버의 데이터베이스로 송신

5) 서버 관리자는 데이터베이스에 저장된 덤프파일을 명령 프롬로트를 통해서 획득하고 분석할 수 있다.

6) 데이터베이스에 저장된 덤프파일은 프론트 엔드 서버를 통해 원격지에서 다운로드 할 수 있다.

---

이번 학기 '암호화를 활용한 원격 포렌식 기법 및 제도 제안'을 주제로 캡스톤 프로젝트를 진행하는 과정에서

GRR에 대해 조사하게 되었다

GRR은 모니터링할 수 있는 서버측과 조사 대상인 클라이언트측, 총 두개의 가상머신이 필요하며

Ubuntu와 Windows 가상머신을 사용했다.

 

* Server측

ifconfig #ip 주소 확인이 필요하므로 메모해두기
sudo apt update
sudo apt install -y
sudo apt install net-tools

cf) /var/lib/dpkg/lock-frontend <- 해당 오류가 발생한다면 아래 명령어들을 차례로 입력해주면 된다.

sudo rm /var/lib/apt/lists/lock 
sudo rm /var/cache/apt/archives/lock 
sudo rm /var/lib/dpkg/lock*
sudo dpkg --configure -a 
sudo apt update

wget을 통해 파일을 다운받아주고 설치해준다

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.1-1_amd64.deb
sudo apt install -y ./grr-server_3.2.1-1_amd64.deb

 

* Client측

Server측 IP로 접속한 다음 GRR화면에서 Manage Binaries -> window/installers/grr_3.2.4.6_amd64.exe를 설치해주고

관리자 권한으로 실행시켜준다.

(리눅스의 경우 linux/installers/grr_3.2.4.6_amd64.deb)

binary파일

Grr 실행

클라이언트 측에서 exe파일을 실행 시, 백그라운드 프로세스로 GRR 프로그램이 실행된다

 

Grr 서버

클라이언트가 바이너리 파일을 설치하면, 서버측에서는 위 이미지 처럼 클라이언트들의 정보를 확인할 수 있고

클라이언트 정보 & 파일시스템

원격으로 클라이언트의 정보들을 확인할 수 있고 파일들까지도 서버측에서 획득 가능하다