[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 2

     - 주제 : 물에 의해 손상된 모바일기기의 포렌식 분석

               (원제 : Forensic analysis of water damaged mobile devices)

     - 발표자 : Aya Fukami

     - 발표내용

       △ 물에 의해 손상된 모바일기기를 기존의 Chip Off 방법이나 부품을 동일한 사양의 기기에 이식하는 방법을 지양하고 포렌식 의뢰된 원래의 모바일기기를 작동 상태로 복원하는 방법 제시함

       △ 물에 의해 손상된 기기는 ECM(electrochemical migration) 일어나는데 각 부품별로 제조사별, 각기 다른 환경(물에 노출된 시간 등)에서 ECM의 상태를 테스트, 전기, 화학적 상태 변동에 대해 관찰, 기록함

       △ 물에 의해 손상된 부품의 ECM 상태에 대한 진단방법과 복원방법에 대해 제시함

       △ 금속부식의 상태를 진단하고 부팅과 관련 부품인지에 대한 판단후 금속부식 생성물을 제거하여 의뢰된 기기를 작동 상태로 복원함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 1

     - 주제 : ‘Nintendo 3DS NAND’의 포렌식 분석 (원제 : Forensic analysis of the Nintendo 3DS NAND)

     - 발표자 : Gus Pesslano

     - 발표내용

       △ 게임 콘솔 중 하나인 Nintendo 3DS의 데이터가 저장된 메모리 NAND를 무결성을 확보한 상태로 메모리 Dump 하는 방법을 제시함

       △ NAND는 저작권보호 등의 목적으로 암호화 되어 있어, 기존의 JTAG 방법으로는 암호키를 가지고 있지 않으면 데이터 분석이 불가하고, Live 획득은 데이터 분석은 가능하나 무결성이 보장되지 않음

        ⇒ ‘Boot9’로 알려진 부트ROM의 RSA 서명확인에서 발견된 결함을 이용하여 NAND에서 펌웨어를 우회하여 물리적 이미징 가능함

       △ 게임 콘솔에서 분석가능한 아티팩트로는 시스템 활동, 삭제 된 이미지, 인터넷 기록 항목, 관련 친구 목록 정보, 콘솔의 일련 번호 및 일반 텍스트 WiFi 액세스 포인트 암호 추출 가능하고 해석방법 제시함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Lunch and Posters (프로젝트 관련 자유로운 의견교환)

◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

◦ 주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       △ 메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자의 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       △ 이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 前 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 ‘시간’ 요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 3

    ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Old Filesystems in New IoT Devices’은 취소됨

     - 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
               (원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)

     - 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)

     - 발표내용

       △ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨

       △ Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함

       △ 타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨

        · C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db

       △ ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨

       △ 데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 때, 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 2

     - 주제 : ‘안드로이드 오토와 구글 어시스턴트’의 아티팩트
              (원제 : Android Auto & Google Assistant – How Google Encourages Hands-Free Motoring)

     - 발표자 : Joshua Hickman

     - 발표내용

      △ 자동차 내에서 안드로이드 기반 휴대전화를 핸즈프리(Hands-Free)로 사용할 수 있는 애플리케이션인 Google Android Auto와 Google Assistant 작동방식 등을 다룸

      △ 세계적으로 41개의 자동차 제조업체들이 Android Auto를 기본적으로 지원하고 있으며, 10개의 제조사들이 내년에 더 많은 지원을 제공할 예정임

      △ 디지털포렌식 분석관들은 Android Auto와 Google Assistant에서 사건해결에 유의미한 아티팩트를 찾는 것이 중요함

      △ 아티팩트 예시

         · Android Auto : 위치 데이터(마지막 사용위치), 마지막 실행시각, 휴대전화가 연결된 차량정보 등

         · Google Assistant : 사용자로부터의 음성입력, 타임스탬프, 임베디드 dhledh 데이터, Android Auto를 통한 Google Assistant 호출 결과로 생성되는 바이너리 프로토콜 버퍼 파일구조 등

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 4

     - 주제 : 사이버범죄 수사 분석 표준 온톨로지 ‘CASE’ 제안
               (원제 : CASE the Cyber-investigation Analysis Standard Expression)

     - 발표자 : Vik Harichandran, Cory Hall (MITRE)

     - 발표내용

       △ 사이버보안 영역이 성장함에 따라 공유정보의 양이 증가하고 있으며, 원활한 공유를 위해 CASE 온톨로지*가 필요함

         * 온톨로지란 사람들이 세상에 대하여 보고 듣고 느끼고 생각하는 것에 대하여 서로 간의 토론을 통하여 합의를 이룬 바를, 개념적이고 컴퓨터에서 다룰 수 있는 형태로 표현한 모델로, 개념의 타입이나 사용상의 제약조건들을 명시적으로 정의한 기술

       △ 서로 다른 국가와 분야간, 조직과 개인간, 분석도구간 조사 데이터를 검증·표준화하여, 결합 및 상호 연관이 목적임

       △ CASE는 국제적으로 오픈소스 형태로 커뮤니티가 개발한 온톨로지로, 2015년경 시작되어 20개 이상의 全세계 공공기관이 참여하고 있음

         ※ 우리나라는 고려대학교 정보보호대학원 이상진 교수가 참여 중임

       △ 사건대응, 대테러, 형사재판, 법과학 등의 영역을 통합 시도 중이며, 곧 CASE 버전 1.0을 확정할 계획임

  - CASE 공식 웹사이트 : https://caseontology.org/

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 교육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       △ CSSL은 美 국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions와 The National Girls Collaborative Project와 협력하고 있음

       △ CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       △ 볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 2

     - 주제 : 탈옥*한 iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)

       * iOS의 탈옥(Jailbreaking)은 Android의 Rooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것

     - 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)

     - 발표내용

       △ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨

       △ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함

       △ Elcomsoft社는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함

         · iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
               Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone

         · iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
                       Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra

       △ 포렌식 도구 XRY 및 Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음

       △ iOS 탈옥은 ① 이전 탈옥버전과 충돌할 우려가 있고, ②이전 탈옥버전의 흔적을 덮어씌울 수 있고, ③‘FindMyiPhone’ 기능을 활성화시킬 수 있고, ④ OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, ⑤ 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음

       △ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함

         · /Applications/Cydia.app

         · /bin and /usr/bin

         · /var/stash & /var/lib/cydia

         · /var/mobile/Library/Preferences

         · /var/MobileDevice/Provisioning profiles

         · /usr/libexec/cydia/*

  - 시사점

     △ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음

     △ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능