[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 4

     - 주제 : IoT 장치 조사를 위한 전자기 측면 채널 분석 활용
              (원제 : Leveraging Electromagnetic Side-Channel Analysis for the Investigation of IoT Devices)

       * DFRWS USA 2019 ‘Best Student Paper’ 선정

     - 발표자 : Asanka Sayakkara (University College Dublin)

     - 발표내용

       △ IoT 기기 자체에 남아 있는 데이터 확보하기 위해 IoT 기기의 Live 조사 중 전자기 방사선 방출을 통해 점검하는 방법을 제시함

       △ EM-SCA(electromagnetic side-channel analysis) 기법으로 IoT 장치의 내부에서 작동중인 소프트웨어 파악와 암호알고리즘 분류를 테스트함

       △ IoT기기의 펌웨어의 악성코드 감염여부를 EM-SCA (Machine Learning과 연계) 기법으로 탐지 가능함을 입증함

       △ IoT 장치 데이터 조사를 위한 디지털포렌식 분석관을 위한 현장에서 실시간 사용 가능한 확장 가능한 EM-SCA 분석 소프트웨어 프레임워크 구현의 필요성 확인

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 3

     - 주제 : AI 스피커 디지털포렌식 분석 (원제 : Digital Forensic Practices and Methodologies for AI Speaker Ecosystems)

     - 발표자 : 조우연 (아주대학교 ICS 연구실)

     - 발표내용

       △ 클라우드 플랫폼 기반 Iot 시스템 중 하나인 AI 스피커 에코시스템에 대한 디지털포렌식 분석 방법 제시함

       △ 한국에서 사용중인 대표적인 4가지 모델(Naver의 Clova, KAKAO의 Kakao I, SKT의 NUGU, KT의 GiGA Genie)을 상대로 디지털포렌식 분석 방법 테스트함

       △ 자체 개발한 Naver의 Clova에 대한 디지털포렌식 분석 도구 소개함

       △ Android 기반의 모바일 앱과 연계된 AI 스피커는 전원이 꺼진 상태에서 모바일 앱 분석으로 데이터 확인하는 등 5가지의 디지털포렌식 분석방법 제시함

       △ AI 스피커와 연계된 모바일 장치 모두에서 사용자를 식별할 수 있는 개인 정보가 확인

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 2

     - 주제 : 물에 의해 손상된 모바일기기의 포렌식 분석

               (원제 : Forensic analysis of water damaged mobile devices)

     - 발표자 : Aya Fukami

     - 발표내용

       △ 물에 의해 손상된 모바일기기를 기존의 Chip Off 방법이나 부품을 동일한 사양의 기기에 이식하는 방법을 지양하고 포렌식 의뢰된 원래의 모바일기기를 작동 상태로 복원하는 방법 제시함

       △ 물에 의해 손상된 기기는 ECM(electrochemical migration) 일어나는데 각 부품별로 제조사별, 각기 다른 환경(물에 노출된 시간 등)에서 ECM의 상태를 테스트, 전기, 화학적 상태 변동에 대해 관찰, 기록함

       △ 물에 의해 손상된 부품의 ECM 상태에 대한 진단방법과 복원방법에 대해 제시함

       △ 금속부식의 상태를 진단하고 부팅과 관련 부품인지에 대한 판단후 금속부식 생성물을 제거하여 의뢰된 기기를 작동 상태로 복원함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 1

     - 주제 : ‘Nintendo 3DS NAND’의 포렌식 분석 (원제 : Forensic analysis of the Nintendo 3DS NAND)

     - 발표자 : Gus Pesslano

     - 발표내용

       △ 게임 콘솔 중 하나인 Nintendo 3DS의 데이터가 저장된 메모리 NAND를 무결성을 확보한 상태로 메모리 Dump 하는 방법을 제시함

       △ NAND는 저작권보호 등의 목적으로 암호화 되어 있어, 기존의 JTAG 방법으로는 암호키를 가지고 있지 않으면 데이터 분석이 불가하고, Live 획득은 데이터 분석은 가능하나 무결성이 보장되지 않음

        ⇒ ‘Boot9’로 알려진 부트ROM의 RSA 서명확인에서 발견된 결함을 이용하여 NAND에서 펌웨어를 우회하여 물리적 이미징 가능함

       △ 게임 콘솔에서 분석가능한 아티팩트로는 시스템 활동, 삭제 된 이미지, 인터넷 기록 항목, 관련 친구 목록 정보, 콘솔의 일련 번호 및 일반 텍스트 WiFi 액세스 포인트 암호 추출 가능하고 해석방법 제시함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Lunch and Posters (프로젝트 관련 자유로운 의견교환)

◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

◦ 주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       △ 메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자의 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       △ 이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 前 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 ‘시간’ 요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 3

    ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Old Filesystems in New IoT Devices’은 취소됨

     - 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
               (원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)

     - 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)

     - 발표내용

       △ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨

       △ Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함

       △ 타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨

        · C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db

       △ ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨

       △ 데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 때, 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 2

     - 주제 : ‘안드로이드 오토와 구글 어시스턴트’의 아티팩트
              (원제 : Android Auto & Google Assistant – How Google Encourages Hands-Free Motoring)

     - 발표자 : Joshua Hickman

     - 발표내용

      △ 자동차 내에서 안드로이드 기반 휴대전화를 핸즈프리(Hands-Free)로 사용할 수 있는 애플리케이션인 Google Android Auto와 Google Assistant 작동방식 등을 다룸

      △ 세계적으로 41개의 자동차 제조업체들이 Android Auto를 기본적으로 지원하고 있으며, 10개의 제조사들이 내년에 더 많은 지원을 제공할 예정임

      △ 디지털포렌식 분석관들은 Android Auto와 Google Assistant에서 사건해결에 유의미한 아티팩트를 찾는 것이 중요함

      △ 아티팩트 예시

         · Android Auto : 위치 데이터(마지막 사용위치), 마지막 실행시각, 휴대전화가 연결된 차량정보 등

         · Google Assistant : 사용자로부터의 음성입력, 타임스탬프, 임베디드 dhledh 데이터, Android Auto를 통한 Google Assistant 호출 결과로 생성되는 바이너리 프로토콜 버퍼 파일구조 등

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 4

     - 주제 : 사이버범죄 수사 분석 표준 온톨로지 ‘CASE’ 제안
               (원제 : CASE the Cyber-investigation Analysis Standard Expression)

     - 발표자 : Vik Harichandran, Cory Hall (MITRE)

     - 발표내용

       △ 사이버보안 영역이 성장함에 따라 공유정보의 양이 증가하고 있으며, 원활한 공유를 위해 CASE 온톨로지*가 필요함

         * 온톨로지란 사람들이 세상에 대하여 보고 듣고 느끼고 생각하는 것에 대하여 서로 간의 토론을 통하여 합의를 이룬 바를, 개념적이고 컴퓨터에서 다룰 수 있는 형태로 표현한 모델로, 개념의 타입이나 사용상의 제약조건들을 명시적으로 정의한 기술

       △ 서로 다른 국가와 분야간, 조직과 개인간, 분석도구간 조사 데이터를 검증·표준화하여, 결합 및 상호 연관이 목적임

       △ CASE는 국제적으로 오픈소스 형태로 커뮤니티가 개발한 온톨로지로, 2015년경 시작되어 20개 이상의 全세계 공공기관이 참여하고 있음

         ※ 우리나라는 고려대학교 정보보호대학원 이상진 교수가 참여 중임

       △ 사건대응, 대테러, 형사재판, 법과학 등의 영역을 통합 시도 중이며, 곧 CASE 버전 1.0을 확정할 계획임

  - CASE 공식 웹사이트 : https://caseontology.org/