[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 1

     ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Extreme Damaged Devices Presentation’이 연기됨에 따라, 예정에 없던 발표로 대체 진행됨

     - 주제 : 학교의 사이버위협  (원제 : School Cyber Risk & Challenges for Community Oriented Policing, Crime Prevention and Investigation)

     - 발표자 : Nicholas

     - 발표내용

       △ 학교의 많은 시스템들은 오래되었고, 더 이상 업데이트가 되지 않는 Windows XP 운영체제를 사용하는 경우가 54%에 해당됨(2017년 기준)

       △ 관리되지 않는 컴퓨터, 서버, 프린터 등은 해킹 공격의 온상이 됨

       △ 학생들의 개인정보를 이용하여 피싱공격 등 발생 가능함

       △ 기타 학교 및 학생을 대상으로 한 사이버보안 위협에 대해 개괄적인 발표를 진행함

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 4

     - 주제 : NTFS 클러스터 할당행위 분석을 통한 사용자 데이터 저장위치 탐색 (원제 : Using NTFS Cluster Allocation Behavior to Find the Location of User Data)

     - 발표자 : Martin Karresand (Norwegian Univ. of Science and Technology)

     - 발표내용

       △ 분석해야 할 데이터의 양이 계속하여 증가함에 따라, 디지털포렌식의 우선순위를 설정하기 위한 연구가 필요함

       △ 본 연구는, 분석관이 검색하는 것을 찾을 가능성이 더 높은 디스크 위치를 확인하기 위해, NTFS의 클러스터 할당 알고리즘 동작을 경험적으로 연구함 (VirtubalBox 사용)

       △ 연구결과, 데이터가 디스크의 중앙부에 더 자주 할당되는 것으로 나타남

     - 시사점

       △ NTFS로 포맷된 하드디스크에 대한 디지털포렌식에서 사용자 데이터의 저장위치 예상으로, 우선순위 설정 가능

       △ 샘플링 주파수의 동적 변경으로 해시기반 카빙의 효율성 증가 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 3

     - 주제 : 데이터베이스 포렌식 도구 ‘DB3F & DF-Toolkit’ 개발 (원제 : DB3F & DF-Toolkit: The Database Forensic File Format and the Database Forensic Toolkit)

     - 발표자 : James Wagner (DePaul University)

     - 발표내용

       △ 대부분의 민감하고 개인적인 사용자 데이터는 서로 다른 데이터베이스 관리시스템(DBMS)에 저장됨
         · Oracle : 기업 데이터를 저장하는데 주로 사용됨
         · MySQL : 대부분의 웹서버 백엔드 스토리지 역할을 함
         · SQLite : 스마트폰의 SMS 등 저장용도로 사용됨

       △ DBMS는 운영체제 내에서 자체 스토리지를 관리하기 때문에 각기 다른 포렌식 도구가 필요하나, DBMS 포렌식 아티팩트를 분석하는 도구는 부족한 현실임

       △ 본 연구는, 다른 파일시스템 포렌식 도구의 가이드라인과 같은 표준 DB 저장 포맷으로서, 데이터베이스 포렌식 파일 포맷(DB3F: Database Forensic File Format)을 제시함

       △ 또한, DB3F로 저장된 데이터 분석도구인 DF-Tookit(Database Forensic Toolkit)을 개발하여 발표함

     - DB3F 예시 및 DF-Tookit 다운로드 주소: http://dbgroup.cdm.depaul.edu/DF-Toolkit.html

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 2

     - 주제 : 삭제된 SQLite의 복구가 가능한 ‘bring2lite’ 도구 개발
               (원제 : bring2lite: a structural Concept and Tool for Forensic Data Analysis and Recovery of Deleted SQLite Records)

     - 발표자 : Harald Baier (University of Applied Sciences, Darmstadt)

     - 발표내용

       △ 현재 WhatsApp, Skype 등 모바일 애플리케이션은 데이터 저장을 위해 SQLite 데이터베이스 형식을 사용함

       △ 디지털포렌식 관점에서 SQLite 데이터베이스 관련 모든 정보를 추출하는 것은 필수적임

       △ 본 연구는 SQLite 데이터베이스에서 데이터를 삭제한 경우, 이에 대한 구조적 복원 방법에 대해 연구함

       △ 데이터 삭제에 영향을 미치는 다른 데이터베이스 매개변수(SQLite pragmas)에 따라 SQLite 삭제동작을 분석하여, 그 결과를 토대로 삭제된 레코드의 복원 기능을 구현함

       △ ‘bring2lite’라는 도구로 구현된 연구결과를 공유함

  - 시사점 : 공유된 연구결과(https://github.com/bring2lite/bring2lite)를 활용하여, 삭제된 SQLite 데이터베이스 복원 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer)를 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, ② Chunk 건너뛰기, ③ 유효한 Chunk 시그니처 검색, ④ 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, ⑤ 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving)를 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Lunch with Birds of a Feather (프로젝트 관련 자유로운 의견교환)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 주 제 : 1. Access & Accessibility
             2. Evidence Interoperability (CASE/AFF4)
             3. Forensic intrusion analysis
             4. IoT Hardware Acquisition & Analysis
             5. Locked device exploitation
             6. Reverse Engineering
             7. Volatile memory Analysis

□ Works In Progress (5분간 아이디어 또는 프로젝트 공유)

  ◦ 개 요 : DFRWS USA 2019 참가자 중 사전 신청자에게 5분간 디지털포렌식 관련 자신의 아이디어 또는 진행 중이거나 계획 중인 프로젝트에 대하여 발표 시간 부여

  ◦ 분위기 : 자발적인 참여로 활발한 논의가 진행되었으며, 서로 관심 있는 분야를 연구하는 참가자들간 교환의 장(場)이 됨

  ◦ 주 제 : 1. DFC 2019 – Challenge
             2. Smart Phone Flash Tool(spflashtools.com)
             3. Smart Password Search

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 2

     - 주제 : HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식
              (원제 : Inception: Virtual Space in Memory Space in Real Space - Memory Forensics of Immersive Virtual Reality with the HTC Vive)

               * HTC社에서 개발한, 머리에 착용하는 가상현실 디스플레이 장치

     - 발표자 : Peter Casey (University of New Haven)

     - 발표내용

       △ 몰입형 가상현실 시스템인 HTC Vive의 메모리 포렌식을 통해, VR기기의 가상환경(VE), 위치, 상태 등을 추출하고, 가상환경 설정의 시각화 재구성 가능성 확인

       △ HTC Vive의 데이터 추출 자동화를 위해 Volatility 프레임워크를 위한 VR 메모리 포렌식 플러그인(vivedump) 제작

     - 시사점

       △ VR(가상현실), AR(증강현실), MR(혼합현실) 등의 기술을 활용하는 사례가 많아짐에 따라, 가상환경(VE: Virtual Environment)에 대한 디지털 포렌식 분석 필요성 증가

       △ 각 제조사별 기기에 따라 상이한 추출방법, 분석방법이 필요하므로, 선제적인 연구 및 대응 필요

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 1

     - 주제 : 윈도우 메모리 포렌식(PTE 검사를 통한 코드인젝션 탐지)
               (원제 : Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries)

     - 발표자 : Frank Block (ERNW)

     - 발표내용

       △ 악성프로그램은 다른 프로세스를 조작하거나 그 존재를 숨기기 위해 코드인젝션 기법을 이용함

       △ 인젝션된 악성코드는 적어도 어느 순간 CPU에 의해 실행됨

       △ 기존 코드인젝션 탐지 도구들로부터 탐지가 불가능한 실행가능한 페이지(executable pages)들의 은닉 기법과 새로운 탐지 기법을 발견함

       △ 연구결과를 메모리 포렌식 프레임워크인 ‘Rekall*’의 플러그인(ptenum) 방식으로 구현함

         * Google에서 메모리포렌식 오픈소스 툴인 ‘Volatility’를 기반 제작함

     - 시사점 : 코드인젝션 탐지 필요시 Rekall 플러그인(ptenum) 활용

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 4 : 오픈소스 악성코드 분석도구 ‘Ghidra’ 소개
    (원제: Introduction to Ghidra Malware Analysis)

  ◦ 발표자 : Erika Noerenberg (Carbon Black)

  ◦ 발표내용

     - Ghidra는 美 국가안보국(NSA)의 사이버보안 임무 수행을 위해 연구 담당부서에서 개발한 역어셈블러 프레임워크임

     - ’19. 4. 4.경 Github에 모든 운영체제(macOS, Linux, Windows)를 지원하는 소스코드를 공개함

     - 분석가들은 필요에 따라 Ghidra의 기능 확장 및 협력 가능함

  ◦ 시사점 : 상용 툴인 IDA Pro와 교차분석 등으로 활용 가능

  ◦ 실습내용

     - Ghidra를 이용해 ‘WannaCry’ 랜섬웨어의 킬스위치를 찾고, 악성코드를 언팩킹(Unpacking)하는 실습 진행

     - Ghidra 다운로드 주소 : http://ghidra-sre.org (9.0.2 패치)

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 3 : 메모리 추출의 로우레벨 (low-level)
   (원제: Behind the scenes of memory extraction)

  ◦ 발표자 : Joe FitzPatrick (SecuringHardware.com)

  ◦ 발표내용

     - 메모리 추출은 디지털 포렌식 분석을 위한 첫 번째 단계로서, 다양한 무료·상용, S/W·H/W 방식의 툴들을 이용함

     - 메모리 추출의 가장 낮은 단계(the lowest level)에서 하드웨어 장치가 메모리에 접근하는 방법에 대해 기술적인 설명함

  ◦ 실습내용

     - 고성능 임베디드 시스템*의 일종인 ‘Intel Galileo C4’ 보드, 리눅스 커맨드라인 툴 등을 이용하여 메모리 추출 및 분석

       * 오픈소스를 기반으로 한 단일보드 마이크로 컨트롤러로 완성된 보드