Digital Forensics2019. 10. 18. 00:03
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 2

     - 주제 : 물에 의해 손상된 모바일기기의 포렌식 분석

               (원제 : Forensic analysis of water damaged mobile devices)

     - 발표자 : Aya Fukami

     - 발표내용

       △ 물에 의해 손상된 모바일기기를 기존의 Chip Off 방법이나 부품을 동일한 사양의 기기에 이식하는 방법을 지양하고 포렌식 의뢰된 원래의 모바일기기를 작동 상태로 복원하는 방법 제시함

       물에 의해 손상된 기기는 ECM(electrochemical migration) 일어나는데 각 부품별로 제조사별, 각기 다른 환경(물에 노출된 시간 등)에서 ECM의 상태를 테스트, 전기, 화학적 상태 변동에 대해 관찰, 기록함

       물에 의해 손상된 부품의 ECM 상태에 대한 진단방법과 복원방법에 대해 제시함

       금속부식의 상태를 진단하고 부팅과 관련 부품인지에 대한 판단후 금속부식 생성물을 제거하여 의뢰된 기기를 작동 상태로 복원함

paper-forensic_analysis_of_water_damaged_mobile_devices.pdf
3.74MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:59
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 1

     - 주제 : ‘Nintendo 3DS NAND’의 포렌식 분석 (원제 : Forensic analysis of the Nintendo 3DS NAND)

     - 발표자 : Gus Pesslano

     - 발표내용

       △ 게임 콘솔 중 하나인 Nintendo 3DS의 데이터가 저장된 메모리 NAND를 무결성을 확보한 상태로 메모리 Dump 하는 방법을 제시함

       NAND는 저작권보호 등의 목적으로 암호화 되어 있어, 기존의 JTAG 방법으로는 암호키를 가지고 있지 않으면 데이터 분석이 불가하고, Live 획득은 데이터 분석은 가능하나 무결성이 보장되지 않음

        ‘Boot9’로 알려진 부트ROMRSA 서명확인에서 발견된 결함을 이용하여 NAND에서 펌웨어를 우회하여 물리적 이미징 가능함

       게임 콘솔에서 분석가능한 아티팩트로는 시스템 활동, 삭제 된 이미지, 인터넷 기록 항목, 관련 친구 목록 정보, 콘솔의 일련 번호 및 일반 텍스트 WiFi 액세스 포인트 암호 추출 가능하고 해석방법 제시함

paper-forensic_analysis_of_the_nintendo_3ds_nand.pdf
2.16MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:57
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Lunch and Posters (프로젝트 관련 자유로운 의견교환)

장 소 : Willamette Falls / University Grill Lounge & Restaurant

주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project



반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:55
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 시간요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:53
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 3

    ※ 기존 프로그램상 Steve Watson(VTO Labs)‘Old Filesystems in New IoT Devices’은 취소됨

     - 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
               (원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)

     - 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)

     - 발표내용

       △ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨

       Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함

       타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨

        · C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db

       ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨

       데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 , 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:50
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 2

     - 주제 : ‘안드로이드 오토와 구글 어시스턴트의 아티팩트
              (원제 : Android Auto & Google Assistant How Google Encourages Hands-Free Motoring)

     - 발표자 : Joshua Hickman

     - 발표내용

      자동차 내에서 안드로이드 기반 휴대전화를 핸즈프리(Hands-Free)로 사용할 수 있는 애플리케이션인 Google Android AutoGoogle Assistant 작동방식 등을 다룸

      세계적으로 41개의 자동차 제조업체들이 Android Auto 기본적으로 지원하고 있으며, 10개의 제조사들이 내년에 더 많은 지원을 제공할 예정임

      디지털포렌식 분석관들은 Android AutoGoogle Assistant에서 사건해결에 유의미한 아티팩트를 찾는 것이 중요함

      아티팩트 예시

         · Android Auto : 위치 데이터(마지막 사용위치), 마지막 실행시각, 휴대전화가 연결된 차량정보 등

         · Google Assistant : 사용자로부터의 음성입력, 타임스탬프, 디드 dhledh 데이터, Android Auto를 통한 Google Assistant 호출 결과로 생성되는 바이너리 프로토콜 버퍼 파일구조 등

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:48
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:46
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 4

     - 주제 : 사이버범죄 수사 분석 표준 온톨로지 ‘CASE’ 제안
               (원제 : CASE the Cyber-investigation Analysis Standard Expression)

     - 발표자 : Vik Harichandran, Cory Hall (MITRE)

     - 발표내용

       △ 사이버보안 영역이 성장함에 따라 공유정보의 양이 증가하고 있으며, 원활한 공유를 위해 CASE 온톨로지*가 필요함

         * 온톨로지란 사람들이 세상에 대하여 보고 듣고 느끼고 생각하는 것에 대하여 서로 간의 토론을 통하여 합의를 이룬 바를, 개념적이고 컴퓨터에서 다룰 수 있는 형태로 표현한 모델로, 개념의 타입이나 사용상의 제약조건들을 명시적으로 정의한 기술

       △ 서로 다른 국가와 분야간, 조직과 개인간, 분석도구간 조사 데이터를 검증·표준화하여, 결합 및 상호 연관이 목적임

       △ CASE는 국제적으로 오픈소스 형태로 커뮤니티가 개발한 온톨로지로, 2015년경 시작되어 20개 이상의 세계 공공기관이 참여하고 있음

         ※ 우리나라는 고려대학교 정보보호대학원 이상진 교수가 참여 중임

       △ 사건대응, 대테러, 형사재판, 법과학 등의 영역을 통합 시도 중이며, CASE 버전 1.0을 확정할 계획임

  - CASE 공식 웹사이트 : https://caseontology.org/




반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:42
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       CSSL국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions The National Girls Collaborative Project와 협력하고 있음

       CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:40
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 2

     - 주제 : 탈옥*iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)

       * iOS의 탈옥(Jailbreaking)AndroidRooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것

     - 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)

     - 발표내용

       △ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨

       △ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함

       △ Elcomsoft는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함

         · iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
               Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone

         · iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
                       Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra

       △ 포렌식 도구 XRY Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음

                                  탈옥 前後

추출 방법

탈옥

탈옥

XRY

사진, 동영상 등

일부 파일들 추출됨

시스템 이미지, 문서, 항목별 로그, 통화기록, 이메일 기록 등 탈옥 보다 많은 정보 추출됨

iTunes 백업

사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨

사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨

 

       △ iOS 탈옥은 이전 탈옥버전과 충돌할 우려가 있고, 이전 탈옥버전의 흔적을 덮어씌울 수 있고, ‘FindMyiPhone’ 기능을 활성화시킬 수 있고, OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음

       △ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함

         · /Applications/Cydia.app

         · /bin and /usr/bin

         · /var/stash & /var/lib/cydia

         · /var/mobile/Library/Preferences

         · /var/MobileDevice/Provisioning profiles

         · /usr/libexec/cydia/*

  - 시사점

     △ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음

     △ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능

반응형
Posted by CCIBOMB