Digital Forensics2019. 10. 17. 23:42
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       CSSL국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions The National Girls Collaborative Project와 협력하고 있음

       CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:40
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 2

     - 주제 : 탈옥*iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)

       * iOS의 탈옥(Jailbreaking)AndroidRooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것

     - 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)

     - 발표내용

       △ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨

       △ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함

       △ Elcomsoft는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함

         · iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
               Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone

         · iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
                       Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra

       △ 포렌식 도구 XRY Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음

                                  탈옥 前後

추출 방법

탈옥

탈옥

XRY

사진, 동영상 등

일부 파일들 추출됨

시스템 이미지, 문서, 항목별 로그, 통화기록, 이메일 기록 등 탈옥 보다 많은 정보 추출됨

iTunes 백업

사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨

사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨

 

       △ iOS 탈옥은 이전 탈옥버전과 충돌할 우려가 있고, 이전 탈옥버전의 흔적을 덮어씌울 수 있고, ‘FindMyiPhone’ 기능을 활성화시킬 수 있고, OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음

       △ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함

         · /Applications/Cydia.app

         · /bin and /usr/bin

         · /var/stash & /var/lib/cydia

         · /var/mobile/Library/Preferences

         · /var/MobileDevice/Provisioning profiles

         · /usr/libexec/cydia/*

  - 시사점

     △ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음

     △ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:35
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 1

     ※ 기존 프로그램상 Steve Watson(VTO Labs)‘Extreme Damaged Devices Presentation’이 연기됨에 따라, 예정에 없던 발표로 대체 진행됨

     - 주제 : 학교의 사이버위협  (원제 : School Cyber Risk & Challenges for Community Oriented Policing, Crime Prevention and Investigation)

     - 발표자 : Nicholas

     - 발표내용

       △ 학교의 많은 시스템들은 오래되었고, 더 이상 업데이트가 되지 않는 Windows XP 운영체제를 사용하는 경우가 54%에 해당됨(2017년 기준)

       △ 관리되지 않는 컴퓨터, 서버, 프린터 등은 해킹 공격의 온상이 됨

       △ 학생들의 개인정보를 이용하여 피싱공격 등 발생 가능함

       △ 기타 학교 및 학생을 대상으로 한 사이버보안 위협에 대해 개괄적인 발표를 진행함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:32
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 4

     - 주제 : NTFS 클러스터 할당행위 분석을 통한 사용자 데이터 저장위치 탐색 (원제 : Using NTFS Cluster Allocation Behavior to Find the Location of User Data)

     - 발표자 : Martin Karresand (Norwegian Univ. of Science and Technology)

     - 발표내용

       △ 분석해야 할 데이터의 양이 계속하여 증가함에 따라, 디지털포렌식의 우선순위를 설정하기 위한 연구가 필요함

       △ 본 연구는, 분석관이 검색하는 것을 찾을 가능성이 더 높은 디스크 위치를 확인하기 위해, NTFS의 클러스터 할당 알고리즘 동작을 경험적으로 연구함 (VirtubalBox 사용)

       △ 연구결과, 데이터가 디스크의 중앙부에 더 자주 할당되는 것으로 나타남

     - 시사점

       △ NTFS로 포맷된 하드디스크에 대한 디지털포렌식에서 사용자 데이터의 저장위치 예상으로, 우선순위 설정 가능

       △ 샘플링 주파수의 동적 변경으로 해시기반 카빙의 효율성 증가 가능

paper-using_ntfs_cluster_allocation_behavior_to_find_the_location_of_user_data.pdf
0.83MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:27
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 3

     - 주제 : 데이터베이스 포렌식 도구 ‘DB3F & DF-Toolkit’ 개발 (원제 : DB3F & DF-Toolkit: The Database Forensic File Format and the Database Forensic Toolkit)

     - 발표자 : James Wagner (DePaul University)

     - 발표내용

       △ 대부분의 민감하고 개인적인 사용자 데이터는 서로 다른 데이터베이스 관리시스템(DBMS)에 저장됨
         · Oracle : 기업 데이터를 저장하는데 주로 사용됨
         · MySQL : 대부분의 웹서버 백엔드 스토리지 역할을 함
         · SQLite : 스마트폰의 SMS 등 저장용도로 사용됨

       △ DBMS는 운영체제 내에서 자체 스토리지를 관리하기 때문에 각기 다른 포렌식 도구가 필요하나, DBMS 포렌식 아티팩트를 분석하는 도구는 부족한 현실임

       △ 본 연구는, 다른 파일시스템 포렌식 도구의 가이드라인 같은 표준 DB 저장 포맷으로서, 데이터베이스 포렌식 파일 포맷(DB3F: Database Forensic File Format)을 제시함

       △ 또한, DB3F로 저장된 데이터 분석도구인 DF-Tookit(Database Forensic Toolkit)을 개발하여 발표함

     - DB3F 예시 및 DF-Tookit 다운로드 주소: http://dbgroup.cdm.depaul.edu/DF-Toolkit.html

 

paper-db3f_df_toolkit_the_database_forensic_file_format_and_the_database_forensic_toolkit.pdf
1.63MB



반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:23
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 2

     - 주제 : 삭제된 SQLite의 복구가 가능한 ‘bring2lite’ 도구 개발
               (원제 : bring2lite: a structural Concept and Tool for Forensic Data Analysis and Recovery of Deleted SQLite Records)

     - 발표자 : Harald Baier (University of Applied Sciences, Darmstadt)

     - 발표내용

       △ 현재 WhatsApp, Skype 등 모바일 애플리케이션은 데이터 저장을 위해 SQLite 데이터베이스 형식을 사용함

       디지털포렌식 관점에서 SQLite 데이터베이스 관련 모든 정보를 추출하는 것은 필수적임

       본 연구는 SQLite 데이터베이스에서 데이터를 삭제한 경우, 이에 대한 구조적 복원 방법에 대해 연구함

       데이터 삭제에 영향을 미치는 다른 데이터베이스 매개변수(SQLite pragmas)에 따라 SQLite 삭제동작을 분석하여, 그 결과를 토대로 삭제된 레코드의 복원 기능을 구현함

       ‘bring2lite’라는 도구로 구현된 연구결과를 공유함

  - 시사점 : 공유된 연구결과(https://github.com/bring2lite/bring2lite) 활용하여, 삭제된 SQLite 데이터베이스 복원 시도 가능

paper-bring2lite_a_structural_concept_and_tool_for_forensic_data_analysis_and_recovery_of_deleted_sqlite_records.pdf
1.30MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:21
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer) 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, Chunk 건너뛰기, 유효한 Chunk 시그니처 검색, 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving) 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

paper-syntactical_carving_of_pngs_and_automated_generation_of_reproducible_datasets.pdf
1.21MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:15
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Lunch with Birds of a Feather (프로젝트 관련 자유로운 의견교환)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 주 제 : 1. Access & Accessibility
             2. Evidence Interoperability (CASE/AFF4)
             3. Forensic intrusion analysis
             4. IoT Hardware Acquisition & Analysis
             5. Locked device exploitation
             6. Reverse Engineering
             7. Volatile memory Analysis

 

Works In Progress (5분간 아이디어 또는 프로젝트 공유)

  ◦ 개 요 : DFRWS USA 2019 참가자 중 사전 신청자에게 5분간 디지털포렌식 관련 자신의 아이디어 또는 진행 중이거나 계획 중인 프로젝트에 대하여 발표 시간 부여

  ◦ 분위기 : 자발적인 참여로 활발한 논의가 진행되었으며, 서로 관심 있는 분야를 연구하는 참가자들간 교환의 장()이 됨

  ◦ 주 제 : 1. DFC 2019 Challenge
             2. Smart Phone Flash Tool(spflashtools.com)
             3. Smart Password Search

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:12
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 2

     - 주제 : HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식
              (원제 : Inception: Virtual Space in Memory Space in Real Space - Memory Forensics of Immersive Virtual Reality with the HTC Vive)

               * HTC에서 개발한, 머리에 착용하는 가상현실 디스플레이 장치

     - 발표자 : Peter Casey (University of New Haven)

     - 발표내용

       △ 몰입형 가상현실 시스템인 HTC Vive의 메모리 포렌식을 통해, VR기기의 가상환경(VE), 위치, 상태 등을 추출하고, 가상환경 설정의 시각화 재구성 가능성 확인

       △ HTC Vive의 데이터 추출 자동화를 위해 Volatility 프레임워크를 위한 VR 메모리 포렌식 플러그인(vivedump) 제작

     - 시사점

       △ VR(가상현실), AR(증강현실), MR(혼합현실) 등의 기술을 활용하는 사례가 많아짐에 따라, 가상환경(VE: Virtual Environment)에 대한 디지털 포렌식 분석 필요성 증가

       △ 각 제조사별 기기에 따라 상이한 추출방법, 분석방법이 필요하므로, 선제적인 연구 및 대응 필요

paper-inception_virtual_space_in_memory_space_in_real_space_memory_forensics_of_immersive_virtual_reality_with_the_htc_vive.pdf
0.99MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:08
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 1

     - 주제 : 윈도우 메모리 포렌식(PTE 검사를 통한 코드인젝션 탐지)
               (원제 : Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries)

     - 발표자 : Frank Block (ERNW)

     - 발표내용

       △ 악성프로그램은 다른 프로세스를 조작하거나 그 존재를 숨기기 위해 코드인젝션 기법을 이용함

       △ 인젝션된 악성코드는 적어도 어느 순간 CPU에 의해 실행됨

       △ 기존 코드인젝션 탐지 도구들로부터 탐지가 불가능한 실행가능한 페이지(executable pages)들의 은닉 기법과 새로운 탐지 기법을 발견함

       △ 연구결과를 메모리 포렌식 프레임워크인 ‘Rekall*’의 플러그인(ptenum) 방식으로 구현함

         * Google에서 메모리포렌식 오픈소스 툴인 ‘Volatility’를 기반 제작함

     - 시사점 : 코드인젝션 탐지 필요시 Rekall 플러그인(ptenum) 활용

paper-windows_memory_forensics_detecting_unintentionally_hidden_injected_code_by_examining_page_table_entries.pdf
0.80MB

 

반응형
Posted by CCIBOMB