[디지털 포렌식] - 사용자 시간 변경 행위

PC 환경

windows10 pro ,1909

포렌식 관점에서 시스템 시간 변경 행위는 중요하다. 하지만 시스템 자체에서 시간을 자동적으로 맞추는 기능과 사용자가 직접 시간대를 변경한 행위를 구분지어야한다. 시간 변경으로 행위를 감추려는 흔적을 의심할 수 있기 때문이다.

아래 CASE1, 2는 프로젝트를 진행하면서 사용자와 시스템 사이에서 어떤 로그가 또는 어떤 로그를 같이봐야 사용자가 수동으로 시스템 시간을 변경한 것인지에 대해 실험을 해보았다.

CASE1

---

아래는 보안로그에서의 시간대 변경 로그이다.

Security이벤트 로그에서 확인 가능한 이벤트 아이디는 4616 이다. 해당 이벤트 로그의 주체를 보면 보안 ID와 이름은 LOCAL SERVICE로 동일하며, 계정 도메인은 NT AUTHORITY이다. 계정이름으로 LOCAL SERVICE를 생성한 적이 없으며, PC이름과 동일한 계정 도메인은 DESKTOP으로 시작하므로 이는 사용자가 수동으로 한 행위가 아니다. 즉, 이는 시스템이 자동적으로 시간 조정한 것임을 알 수 있다. 다음 아래 사진은 사용자가 시간대를 수동으로 변경한 로그이다.

해당 로그의 주체를 보면 보안 ID에는 PC이름과 계정이름이 적혀있고, 계정 이름에는 시스템 시간을 변경한 계정이름이 적혀있다. 또한, 계정 도메인은 PC의 이름이 들어가있다.

CASE2

---

표준시간대 변경

아래는 System 이벤트 로그에서 확인 가능한 시간변경 행위이다. 이벤트 아이디 22번인 표준 시간대 변경은 사용자가 직접 변경할 때만 나타난다. 그 외의 시스템이 자동으로 변경하는 내용은 없다.

여기서 중요한 점은 단순히 이벤트로그 1번으로는 사용자가 직접 시간을 바꾼 것인지 판단이 어렵다. 또한, 이벤트 아이디 1번의 이유는 첫 번째 System time synchronized with the hardware clock, 두 번째 An application or system component changed the time, 세 번째 System time adjusted to the new time zone. 총 세 가지 경우가 나온다. 세 번째의 경우는 22번 로그로 볼 수 있으니 제외시킬 수 있다. 그러면 System time synchronized with the hardware clock을 하는 것과, An application or system component changed the time로그를 보면 된다. 

System time synchronized with the hardware clock경우

사용자가 아닌 시스템이 직접적으로 시간을 동기화하는 작업을 가진다. 다른 예로는 시스템이 저전원 상태에서 복귀될 때(절전모드에서 깨어날 때)에도 시스템 시간이 하드웨어 시간과 동기화한다.

An application or system component changed the time경우

하드웨어 시간과 시스템 시간이 다를 때 (초 단위 이하로 차이날 때) 시스템이 시간을 변경한다. 혹은 시간대가 다른 나라로 이동을 하였을 때도 변경이 될 여지로 보인다. 또한, 몇몇 PC는 절전모드 전환 후 복귀될 때 나타나기도 한다.

7040 이벤트를 보면 두 가지 경우가 보인다. 첫 번째로는 YY-MM-DD, HH:MM:SS 형식의 Windows Time 서비스, 두 번째로는 UTC +/- X의 표준시간대를 알 수 있다. 표준시간대 이벤트 로그는 위에 적었듯이 사용자가 수동으로 변경한 로그 외에는 시스템이 변경한 로그가 남지 않는다. 때문에 여기서 중점적으로 봐야할 것은 Windows Time 서비스의 시작 유형을 요청 시 시작인지, 사용 안 함 인지의 로그 판별이 중요하다. 기본적으로는 Windows Time서비스의 시작 유형은  요청 시 시작이 기본 설정 값이다. 또한, 요청 시 시작일 때는 수동으로 시간 변경이 불가능하다.

다시 말하면 자동으로 시간 설정이 꺼져 있으면 수동으로 날짜 및 시간 설정 변경이 가능해진다는 말이다. 즉, 7040이벤트 로그가 Windows Time 서비스가 요청 시 시작에서 사용 안 함으로 변경된 로그와 1번 로그(Application or system component changed the time)를 같이 보면 사용자가 시간을 변경했다고 의심할 수가 있다. 더 정확히 사용자가 시스템 시간을 직접 변경하였다라는 판단을 하기 위해서는 System 로그의 7040로그와, 1번로그 Security의 4616로그를 같이 확인해 주어야 한다.

System 로그의 7040에서 Windows Time 요청 시 시작을 사용 안 함과, 1번의 Appplication or system component changed the time과 Security의 4616 (계정 이름, 도메인 확인) 을 같이봐야 정확하게 사용자가 직접적으로 시스템 시간을 변경한 것인지의 유무를 판단할 수 있다.