[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 4 : 오픈소스 악성코드 분석도구 ‘Ghidra’ 소개
    (원제: Introduction to Ghidra Malware Analysis)

  ◦ 발표자 : Erika Noerenberg (Carbon Black)

  ◦ 발표내용

     - Ghidra는 美 국가안보국(NSA)의 사이버보안 임무 수행을 위해 연구 담당부서에서 개발한 역어셈블러 프레임워크임

     - ’19. 4. 4.경 Github에 모든 운영체제(macOS, Linux, Windows)를 지원하는 소스코드를 공개함

     - 분석가들은 필요에 따라 Ghidra의 기능 확장 및 협력 가능함

  ◦ 시사점 : 상용 툴인 IDA Pro와 교차분석 등으로 활용 가능

  ◦ 실습내용

     - Ghidra를 이용해 ‘WannaCry’ 랜섬웨어의 킬스위치를 찾고, 악성코드를 언팩킹(Unpacking)하는 실습 진행

     - Ghidra 다운로드 주소 : http://ghidra-sre.org (9.0.2 패치)

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 3 : 메모리 추출의 로우레벨 (low-level)
   (원제: Behind the scenes of memory extraction)

  ◦ 발표자 : Joe FitzPatrick (SecuringHardware.com)

  ◦ 발표내용

     - 메모리 추출은 디지털 포렌식 분석을 위한 첫 번째 단계로서, 다양한 무료·상용, S/W·H/W 방식의 툴들을 이용함

     - 메모리 추출의 가장 낮은 단계(the lowest level)에서 하드웨어 장치가 메모리에 접근하는 방법에 대해 기술적인 설명함

  ◦ 실습내용

     - 고성능 임베디드 시스템*의 일종인 ‘Intel Galileo C4’ 보드, 리눅스 커맨드라인 툴 등을 이용하여 메모리 추출 및 분석

       * 오픈소스를 기반으로 한 단일보드 마이크로 컨트롤러로 완성된 보드

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 2 : 디지털포렌식 Triage 도구 ‘KAPE’ 소개
   (원제: KAPE: What’s all the buzz about?)

  ◦ 발표자 : Mark Hallman (SANS Institute)

  ◦ 발표내용

     - 최근 SANS Institute에서 개발한 KAPE(Kroll Artifact Parser and Extractor)라는 디지털포렌식 Triage 도구* 소개

       * 현장에서 짧은 시간 안에 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집하주는 포렌식 도구

     - KAPE는 분석관의 필요에 따라 포렌식적으로 가장 관련있는 아티팩트(Artifact)*를 수분 내에 추출, 분석하는 무료도구임

       * 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

     - KAPE의 주요기능은 1)파일 수집과 2)수집된 파일을 하나 이상의 프로그램(모듈 확장 가능)으로 분석해주는 것임

◦ 실습내용

     - 윈도우 운영체제가 설치된 노트북을 지참하여, KAPE를 다운로드받아 1) 커스텀 타겟과 모듈 생성방법, 2) 기기 및 저장매체별 필수적인 데이터 수집방법 등에 대해 실습함

     - KAPE 도구 다운로드 주소 : http://bit.ly/get-kape

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 1 : 증기를 이용한 새로운 메모리 칩오프 기법 소개
   (원제: Introducing a New Method for Chip-Off Success: Vapor Phase)

  ◦ 발표자 : Steve Watson (VTO Labs), David Rathbone

  ◦ 발표내용

     - 데이터 획득을 위한 표준 디지털포렌식 기법이 실패할 경우, 분석가들은 메모리 칩오프(chip-off)* 기법을 사용

       * 휴대전화나 기타 임베디드 기기가 정상 작동되지 않는 경우, 해당 기기에서 메모리 칩을 떼어내 데이터를 추출하고 복구하는 분석기법

     - 전자제품 제조 및 디지털포렌식 산업 전반에 걸쳐, 인쇄회로기판(PCB)에서 칩을 제거하는 다양한 방법이 존재

     - 전자제품 제조업계는 사용하고 있으나, 디지털포렌식 분야에서는 적용한 바 없는 ‘증기’를 이용한 칩오프 기법을 소개

     - 이른 바 ‘Vapor phase reflow’는 기존 기법(Heat-gun, Milling을 이용한 방식 등)에서 발견되는 위험을 최소화하며 안정적이고 일관되게 칩오프 가능

     - ‘Vapor phase reflow oven(증기 역류 오븐)’ 기기*를 이용한 메모리 칩오프 시연회를 통해, 해당 장비 및 기법 직접 확인함

       * 퍼플루오로폴리에테르(perfluoropolyether) 등을 끓여 증기를 생성, 밀도가 높은 PCB에 고르게 열을 전달함. 산소로부터 밀폐되어 산화 방지됨

  ◦ 시연장면

<DFRWS USA 2019>

□ 개요

  ◦ 행사명 : DFRWS(Digital Forensic Research Workshop) USA 2019

  ◦ 기 간 : ’19. 7. 14.(日)~ 7. 17.(水)

  ◦ 장 소 : 미국 오레곤주 포틀랜드 주립대 플레이스 호텔 (University Place Hotel, Portland State University)

  ◦ 연 혁

     - (DFRWS USA) ’01. 8. 미국 뉴욕주 Utica에서 최초 개최

     - (DFRWS EU) ’14. 5. 네덜란드 Amsterdam에서 최초 개최

     - (DFRWS APAC) ’20. 9. 호주 Sydney에서 최초 개최 예정

  ◦ 주요 내용

     - DFRWS*는 ’01. 8.경부터 디지털포렌식 분야의 과학적 연구 및 통합적 접근을 통한 발전을 목적으로 매년 개최하는 학술대회

       * DFRWS(Digital Forensic Research Workshop) : 디지털포렌식의 연구 및 개발을 논의하기 위해 全세계 산학연관이 협력하여 구성된 비영리 단체

     - 디지털포렌식 분야에서 가장 권위있는 학술대회로, 학계, 연구기관, 법집행기관, 민간의 포렌식분야 실무자 등이 최근 기술 경향, 연구 결과 등에 대하여 심도깊은 논의 진행

     - 법원과 기타 의사결정자들의 판단에 있어서 절차 外 조작자의 전문성, 도구의 신뢰성을 충족시키기 위한 방안 연구 등

  ◦ 학술대회 진행방식

     - 5개 분야*로 형식을 구분하여, 메모리·사물인터넷 포렌식, 악성코드 분석 등 다양한 주제에 대한 연구결과 등 공유

       * DFRWS 5개 분야: Research papers, Presentation proposal, Panel proposals, Workshop proposals, Demo proposals

     - 학계·산업계·정부기관·법집행기관 등 다양한 분야의 실무가, 전문가들이 각자의 경험, 지식, 아이디어 등을 활발히 공유

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Workshop : CASE(사이버범죄 수사 분석 표준 표현) 온톨로지
   (원제 : The Cyber-investigation Analysis Standard Expression, CASE)

  ◦ 발표자 : Cory Hall

  ◦ 워크숍 내용

     - CASE* 커뮤니티에 대한 현재까지의 진행사항을 설명하고 워크숍에 참가한 분들의 간단한 소개로 워크숍을 시작함

       * 정부 및 법 집행기관, 학술, 영리 및 비영리 기관 등이 모여서 만들고 있으며 효과적으로 사이버수사를 하기위해 수집하는 데이터를 규격화 함

     - CASE는 2015년에 처음으로 아이디어가 발표되었으며 2017년 관련논문이 소개되고 2018년에 8월부터 현재까지 커뮤니티가 만들어지고 있는 과정임

     - 범죄에 사용되는 디지털기기들이 점점 복잡해지고 새로운 기술들이 적용되고 있으며 그에 대응하는 포렌식 도구들이 다양함 (출력되는 결과값이 상이함)

     - 데이터 용량이 기하급수적으로 증가하므로 데이터 결과값을 기계중심이 아닌 사람이 이해할 수 있는 언어로 체계적 재해석할 필요가 있음

     - 상이한 디지털포렌식 도구의 분석결과를 포맷을 통일하여 도구간 교차검증이 가능하도록 함으로써 신뢰성 제고 가능함

     - 상업적인 디지털포렌식 도구들이 분석대상 디지털기기의 데이터베이스를 해석하는 방식이 상이하므로, 결과 포맷의 일괄적인 통일은 쉽지 않은 과제임

     - CASE에 대한 활용방안에 대하여 참가자들의 의견을 모았으며, “포렌식 도구에 대한 신뢰성 확보”, “국제 수사기관과의 데이터 협조”, “ISO 17025 인증”, “개인정보 보호를 위한 규격” 등 다양한 의견이 공유됨

  ◦ 시사점

     - CASE 커뮤니티는 현재 시작되는 단계로, 위원회 참여를 독려하고 있음

     - 많은 디지털포렌식 관련 업체에서 CASE 커뮤니티에 참여하는 만큼, 디지털포렌식 도구에 실제 반영될 가능성이 높음

     - 우리나라도 선제적으로 참여하여 만들어지고 있는 표준 규격(온톨로지)에 의견을 개진할 필요가 있음

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 4

     - 주제 : AFF4 기반의 개방형 논리적 이미지 컨테이너
      (원제 : AFF4-L: A scalable open logical evidence container)

     - 발표자 : Bradley Schatz

     - 발표내용

       △ 클라우드 기반의 증거가 많아지고 스토리지의 물리적 제약(잠금암호, 데이터 암호화 등)이 생기면서 디지털포렌식에서는 논리적 이미징을 해야 하는 경우가 많아짐

       △ 일반적으로 논리적 이미지는 프로그램에 의존적인 형식의 이미지 컨테이너(ex. L01, AD1)가 사용되지만 확장성 및 표현력이 부족하고 상호 운용성이 제한적임

       △ AFF4 기반의 개방형 논리적 이미지 컨테이너는 확장 가능한 임의 메타 데이터 저장 및 중복 제거 된 논리 이미지 저장을 지원함

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 3

     - 주제 : 아동성학대물 수사에 사용되는 포렌식툴, 인공지능필터링, 안전한 제시의 효용성에 대한 전문가 설문조사
      (원제 : A Practitioner Survey Exploring the Value of Forensic Tools, AI, Filtering, & Safer Presentation for Investigating Child Sexual Abuse Material (CSAM))

     - 발표자 : Laura Sanchez

     - 발표내용

       △ 아동 성적 학대물(CSAM) 조사자들의 심리적 외상 또는 트라우마등의 어려움을 줄이기 위해 CSAM 자동 검출도구, 트리아지 모델, 인공지능 필터링등 다양한 기법이 연구되고 있음

       △ 그러나 이러한 기법들의 효용성, 정확성에 대한 실태조사는 많지 않음. 이에 실무자들을 상대로 사용도구 및 기술이 제공하는 가치에 대해 MITRE*와 연계된 사법기관 및 관련조직에 있는 CSAM 실무자들을 상대로 설문조사를 진행함

        * MITRE Corporation: 더 안전한 세상을 만드는 것을 주요 임무로 하는 미국연방 정보 지원 비영리 단체

       △ 설문결과, 안전 보기(safe-viewing)보다 필터링 기술을 더 중요하게 생각하며, 오탐지보다 미탐지에 더 큰 관심이 있는 것으로 확인됨(아동포르노에 노출되는 것은 어쩔 수 없는 직업적 제약으로, 오히려 정확한 탐지를 더욱 중요하게 여김)

       △ 실무자들은 데이터 과학 및 인공 지능(AI)에 익숙하지 않은 것으로 나타났으며 자동 누드 탐지, 연령 추정 및 피부 색조 탐지기능을 가장 많이 활용하고 있는 것으로 나타남

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 2

     - 주제 : Fb해시(디지털포렌식을 위한 새로운 해시 유사도 비교 스키마)
      (원제 : FbHash: A New Similarity Hashing Scheme for Digital Forensics)

     - 발표자 : Monika Singh

     - 발표내용

       △ 전통적인 파일해시 유사도 비교 분석에는 주로 파일 전체영역에 대한 해시를 비교하는 방법을 사용함

       △ 이를 자동화하기 위해 ssdeep, sdhash와 같은 툴에서는 Approximate Matching 알고리즘*을 사용하여 공격자가 파일의 내용을 적절하게 변경하여 최종 해시 서명을 지능적으로 수정하여 탐지를 피할 수 있음.

        * 검사 할 모든 파일에 대해 해시 서명을 생성하고 유사성 점수를 계산 한 다음 알려진 참조 세트와 비교하여 필터링

       △ FbHash는 ‘TF-IDF weighing method’를 이용하여 파일을 블록단위(byte)로 분할하여 해시테이블을 생성한 다음 아래 식을 이용하여 파일(D)의 유사도(Similarity)를 측정하도록 개발된 새로운 해시 유사도 분석툴임

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 1

     - 주제 : 후킹 추적기(API 후킹 탐지 자동 분석 시스템)
      (원제 : HookTracer: A System for Automated and Accessible API Hooks Analysis)

     - 발표자 : Andrew Case

     - 발표내용

       △ 악성코드에서 자주 사용되는 해킹 기법인 API Hook의 탐지 및 분석을 위해 메모리 포렌식이 주로 사용되고 있으나 기존 상용툴 및 백신보안업체 제품에서 긍정적 목적의 API Hook 역시 악성코드로 탐지하는 오탐이 빈번히 일어남

       △ 악의적 목적의 API Hook을 정확히 판단하기 위해 기능 개선 된 탐지 툴인 ‘hooktracer’를 개발함(Volatility의 플러그인 형태로 실행)

       △ ‘hooktracer’는 정상적인 범주로 판단되는 API Hook에 대해 ‘hook traces’라는 휴대용 서명을 생성하여 많은 수의 머신에 대해서도 신속한 검사 및 탐지를 할 수 있음

       △ 윈도우 운영체제에서 사용하는 프로세스에 대해 ‘Volatility’의 API Hook기능을 이용하여 Windows API를 후킹하고 정상적인 범주의 메모리 주소영역 및 디렉토리 등을 학습하여 ‘hook traces’를 생성, 이를 벗어나는 Hooks에 대해 탐지하는 알고리즘을 사용