소개
Pentest 에 특화된 OS 인 Kali linux 는 많은 분들이 이용을 하고 계실텐데요. 반대로 사고 대응 및 조사를 위한 OS 도 몇가지가 있습니다.
그 중 CSI Linux 를 한번 설치하여 간단히 둘러보았습니다.
CSI Linux 란?
CSI 는 Crime Scene Investigation 의 약어인데요. CSI Linux 는 말그대로 디지털 포렌식을 위해 디자인된 OS 입니다.
OS 를 설치하면 디지털 포렌식 및 사고 조사를 위한 다양한 툴들이 갖추어져 있는데요.
설치 후 하단의 기본 메뉴만 보더라도 IDA, Gidra, Wireshark 등 침해 대응을 위한 툴들이 설치되어있음을 확인할 수 있습니다.
Features
CSI Linux 가 포렌식을 위해 디자인되어 그런지 Encase 에서 사용되는 case 개념이 그대로 사용되고 있습니다. 아래 배경화면에서 Start a Case 를 열어보면,
case 단위로 작업 공간을 만들고 사고 조사를 이어갈 수 있도록 되어있습니다.
case 를 만들면서 정보를 입력하게 되는데 report 템플릿도 만들수 있게 때문에 case information 도 잘 작성해서 시작해줍니다.
case 를 만들고 나면 조사 할 카테고리를 선택하면서 진행을 하게 됩니다. 각각의 카테고리별로 사용되는 툴들은 다양하게 지원이 되고 있는데요.
많이 사용되는 Recon, Reverse engineering, OSINT, Forensic tools 등이 제공되어 사용가능합니다.
이렇게 주어진 툴들을 이용해서 조사를 마치고 나면 Report 를 작성하게 될텐데 이때 사용할 수 있는 report template 도 제공해줍니다.
case 별로 툴을 통해 나온 output 은 case 별로 별도 폴더를 통해 자동으로 분류되어 관리되어집니다.
CSI Linux Download
아래 다운로드 페이지에서 본인이 사용할 환경에 맞는 이미지를 다운받을 수 있습니다.
저는 QEMU 를 사용하고 있어 이미지를 다운받아 손쉽게 사용이 가능하였습니다.
결론
CSI Linux 에서는 침해 사고 대응을 위해 필요한 다양한 툴들을 기본적으로 제공해주고 case 기반으로 여러 워크스페이스를 만들면 워크스페이스별로 별도로 output 들을 저장 및 관리를 할 수 있어 관리적 측면에서 편리함을 제공해주는게 개인적으로는 큰 이점으로 다가왔습니다.
Kali linux 에서도 침해 탐지 및 분석, 대응을 위해 만들어진 kali linux purple 을 배포하고 있는데요. 잘 이용하면 좀더 효율적으로 사고 분석 및 조사를 할 수 있지 않을까 합니다.