Digital Forensics2019. 10. 18. 00:21
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Forensics Rodeo (디지털포렌식 퀴즈대회)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 개최시간 : 19:30 ~ 23:30 

  ◦ 웹사이트 : https://www.dfrws.rodeo

  ◦ 대회방법 및 후기

     - Forensics RodeoDFRWS 학술대회 중 매년 개최되는 디지털포렌식 퀴즈대회임

     - 저녁식사 이후 University Place Hotel 1층 식당에서 개최하였으며 자율적으로 5명 이상의 참가자로 팀을 결성하고 팀별 계정을 부여받음 (필요시, 주최측에서 팀 조정)

     - 사이버보안 관련 공격방어대회의 형식인 CTF(Capture The Flag) 중 문제풀이 방식(Jeopardy)으로 진행됨

     - 주최측에서 알려준 웹사이트에 팀별 계정으로 접속하여, 문제를 확인하고 정답을 기재하는 방식임

     - , 포렌식, 암호, 바이너리 분석 등 카테고리에서 문제 또는 과제를 해결하도록 요구하며, 문제를 풀때마다 점수가 부여되고, 복잡한 문제일수록 더 높은 점수가 부여됨

     - 대형화면에 팀별 실시간 점수와 순위가 공개되고, 대회종료 1시간 각 문제별 힌트가 주어짐

     - 우승자에게는 소정의 상품을 제공하며 대회가 끝나면 각 문제에 대해서 출제자 및 정답자가 문제풀이 발표를 함

     - 23:30까지 대회가 진행됨에도 많은 인원들이 적극적으로 참가하며 열의를 보임

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:19
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

DFRWS Forensic Challenge Presentation

  ◦ 주 제 : DFRWS 디지털포렌식 챌린지 2018-2019 문제풀이

  ◦ 발표자 : 국민대학교 금융정보보안학과 DF&C 박은후 연구원

  ◦ DFRWS Forensic Challenge 2018-2019 개요

     - 연혁 : DFRWS 2005부터 매년 개최되는 공모전

       ※ 다양한 주제와 시나리오를 통해 디지털포렌식 기술 발전에 기여

· 2005 : Memory Forensic

· 2006, 2007 : Data Carving

· 2007 : Data Carving

· 2008 : Linux Memory Forensic

· 2009 : Playstation 3 Forensic

· 2010, 2011 : Mobile Forensic

· 2012, 2013 : To Develop Data Block Classifier

· 2014 : Mobile Malware Analysis

· 2015 : GPU Malware Research

· 2016 : Software-Defined Networking Forensic

· 2017-2018 : IoT Forensic

· 2018-2019 : IoT Forensic

     - 우승 : 국민대 금융정보보안학과 DF&C 소속 연구원 7

     - 진행과정 : 시나리오와 문제가 제시되며, 보고서 및 분석도구를 결과물로 제출함

     - 시나리오 : 불법마약 연구실 습격받아 화재가 발생함, 경찰과 디지털포렌식 분석관이 현장 출동함, 불법마약 연구실 소유주 ‘Jessie Pinkman’은 행방묘연함, 경찰은 연구실 동료인 ‘D. Pandana’‘S. Varga’ 심문하였으나 범행 부인함, 현장에는 IoT보안시스템이 설치되어 있으며, ‘Jessie Pinkman’은 실내에서 항상 “Home” 모드로 설정함

     - 문제요약 : 연구실 습격시각은 언제인가? 동료 중 습격에 가담한 사람은 누구이며, 증거는 무엇인가? Qbee카메라는 어떻게 망가졌는가?

     - 분석증거물 : Galaxy S6 edge, iSmart Alarm, Alro Camera, Wink Hub, Amazon Echo, Smarthome Network Capture

     - 분석결과 : ELK Solution(Elasticsearch, Logstash, Kibana)를 활용하여, 각 증거물로부터 추출한 이벤트 로그를 시각화하여 타임라인을 분석한 점이 인상깊었음

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:16
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 3

     - 주제 : 포렌식툴 및 검색방법에 따른 상이한 결과현출 가능성
      (원제 : Forensic String Search Tool Quirks or What I Learned Testing String Search Tools)

     - 발표자 : James Lyle

     - 발표내용

       △ 동일한 포렌식 도구를 사용하여 동일한 이미지를 탐색시에도, 라이브탐색 결과와 인덱싱결과가 항상 같지는 않음

       △ 특히 유니코드 문자열 및 일련의 사회보장번호 등을 검색하는 경우, 툴의 종류 또는 검색방법에 따라 결과가 다름

     - 시사점 : 교차분석(다른 포렌식툴 활용) 의무화 방안 등 검토 필요

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:13
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 2

     - 주제 : 키워드 검색의 대안, ‘개념적 검색(Concept Searching)기법
      (원제 : Not Your Father’s Forensics: Concept Searching for Data Forensic Investigations: Uncover what keywords miss)

     - 발표자 : Warren G., Robert Kruse

     - 발표내용

       △ 부자(父子) 관계의 디지털포렌식 실무가들이 단순한 키워드 검색이 아닌 개념적 검색 기법의 필요성을 발표함

       △ 모든 유형의 범죄를 수사 과정에서 디지털포렌식 분석이 필요한 데이터의 양은 폭발적으로 증가하고 있음

         ⇒ 데이터 양이 증가할수록, 대량의 통신과 정보를 신속하게 분석하기 위한 방법, 기술 및 프로세스가 필요함

       △ 키워드 검색은 오탈자, 동의어, 다의어, 방언, 은어 등으로 인해 결과에 오류 또는 누락이 발생할 가능성이 높음

       △ 개념적 검색은 단순히 키워드의 일치를 이유로 모든 정보를 추출/확인하는 것이 아니라, ‘개념적으로 일치하는 정보를 빠르고 효율적으로 검색하는 것을 말함

       △ 키워드 검색이나 메타 검색과는 달리, 쿼리(Query)와 문서간 개념적 일치를 보여주므로, 중요 개념에 대한 집중분석 가능

     - 시사점

       △ 살인, 강도, 마약 수 개의 키워드가 포함된 정보 전체의 추출을 하는 경우, 다수의 관계없는 정보까지 추출되거나 관계 정보가 누락되는 경우가 발생할 우려가 있음

       △ 사건유형 또는 개념(Concept)별 키워드 수집을 통해 Data Set 마련하여 증거분석시 활용할 필요가 있음

         ⇒ 같은 Concept에 해당하는 키워드를 수집하고, 각 키워드와 Concept간 상관정도를 수치화하는 등 개념적 관련성에 대한 심층연구 필요

 

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:11
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 1

     - 주제 : 인간행동 정보를 활용한 유효계정의 정상접속 여부 판단
      (원제 : Detection of Lateral Movement Across Valid Accounts by Using Human Behavior in the Physical Environment)

     - 발표자 : Tomohiko Yano

     - 발표내용

       △ 정보통신망침해 범죄에 있어, 공격자가 정상적인 계정을 이용하여 시스템에 로그인한 경우가 많음

       로그온 이벤트에서는 컴퓨터 이름과 계정 이름에 대한 정보만 확인 가능하므로, 해당 계정이 정당한 권원이 있는 사용자의 정상적인 접속인지 판단이 불가함

       이에 대한 해결책으로, 사용자의 PC 앞에 거리센서를 설치하여 온/오프에 따라 정상접속 여부 판단, 로그온 前後 키 스트로크(Key stroke) 이벤트를 활용하는 방안을 제시

       시뮬레이션 연구를 통해 제안한 방안을 활용한 공격자의 비정상접속 여부 검출율을 평가함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:08
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 4

     - 주제 : IoT 장치 조사를 위한 전자기 측면 채널 분석 활용
              (원제 : Leveraging Electromagnetic Side-Channel Analysis for the Investigation of IoT Devices)

       * DFRWS USA 2019 ‘Best Student Paper’ 선정

     - 발표자 : Asanka Sayakkara (University College Dublin)

     - 발표내용

       △ IoT 기기 자체에 남아 있는 데이터 확보하기 위해 IoT 기기의 Live 조사 중 전자기 방사선 방출을 통해 점검하는 방법을 제시함

       EM-SCA(electromagnetic side-channel analysis) 기법으로 IoT 장치의 내부에서 작동중인 소프트웨어 파악와 암호알고리즘 분류를 테스트함

       IoT기기의 펌웨어의 악성코드 감염여부를 EM-SCA (Machine Learning과 연계) 기법으로 탐지 가능함을 입증함

       IoT 장치 데이터 조사를 위한 디지털포렌식 분석관을 위한 현장에서 실시간 사용 가능한 확장 가능한 EM-SCA 분석 소프트웨어 프레임워크 구현의 필요성 확인

paper-leveraging_electromagnetic_side_channel_analysis_for_the_investigation_of_iot_devices.pdf
2.39MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:05
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 3

     - 주제 : AI 스피커 디지털포렌식 분석 (원제 : Digital Forensic Practices and Methodologies for AI Speaker Ecosystems)

     - 발표자 : 조우연 (아주대학교 ICS 연구실)

     - 발표내용

       △ 클라우드 플랫폼 기반 Iot 시스템 중 하나인 AI 스피커 에코시스템에 대한 디지털포렌식 분석 방법 제시함

       △ 한국에서 사용중인 대표적인 4가지 모델(NaverClova, KAKAOKakao I, SKTNUGU, KTGiGA Genie)을 상대로 디지털포렌식 분석 방법 테스트함

       △ 자체 개발한 NaverClova에 대한 디지털포렌식 분석 도구 소개함

       △ Android 기반의 모바일 앱과 연계된 AI 스피커는 전원이 꺼진 상태에서 모바일 앱 분석으로 데이터 확인하는 등 5가지의 디지털포렌식 분석방법 제시함

       △ AI 스피커와 연계된 모바일 장치 모두에서 사용자를 식별할 수 있는 개인 정보가 확인

paper-digital_forensic_practices_and_methodologies_for_ai_speaker_ecosystems.pdf
3.89MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:03
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 2

     - 주제 : 물에 의해 손상된 모바일기기의 포렌식 분석

               (원제 : Forensic analysis of water damaged mobile devices)

     - 발표자 : Aya Fukami

     - 발표내용

       △ 물에 의해 손상된 모바일기기를 기존의 Chip Off 방법이나 부품을 동일한 사양의 기기에 이식하는 방법을 지양하고 포렌식 의뢰된 원래의 모바일기기를 작동 상태로 복원하는 방법 제시함

       물에 의해 손상된 기기는 ECM(electrochemical migration) 일어나는데 각 부품별로 제조사별, 각기 다른 환경(물에 노출된 시간 등)에서 ECM의 상태를 테스트, 전기, 화학적 상태 변동에 대해 관찰, 기록함

       물에 의해 손상된 부품의 ECM 상태에 대한 진단방법과 복원방법에 대해 제시함

       금속부식의 상태를 진단하고 부팅과 관련 부품인지에 대한 판단후 금속부식 생성물을 제거하여 의뢰된 기기를 작동 상태로 복원함

paper-forensic_analysis_of_water_damaged_mobile_devices.pdf
3.74MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:59
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Session III: IoT Forensics

  ◦ 좌 장 : Frank Adelstein, Ph.D. (NFA Digital)

  ◦ 발표 1

     - 주제 : ‘Nintendo 3DS NAND’의 포렌식 분석 (원제 : Forensic analysis of the Nintendo 3DS NAND)

     - 발표자 : Gus Pesslano

     - 발표내용

       △ 게임 콘솔 중 하나인 Nintendo 3DS의 데이터가 저장된 메모리 NAND를 무결성을 확보한 상태로 메모리 Dump 하는 방법을 제시함

       NAND는 저작권보호 등의 목적으로 암호화 되어 있어, 기존의 JTAG 방법으로는 암호키를 가지고 있지 않으면 데이터 분석이 불가하고, Live 획득은 데이터 분석은 가능하나 무결성이 보장되지 않음

        ‘Boot9’로 알려진 부트ROMRSA 서명확인에서 발견된 결함을 이용하여 NAND에서 펌웨어를 우회하여 물리적 이미징 가능함

       게임 콘솔에서 분석가능한 아티팩트로는 시스템 활동, 삭제 된 이미지, 인터넷 기록 항목, 관련 친구 목록 정보, 콘솔의 일련 번호 및 일반 텍스트 WiFi 액세스 포인트 암호 추출 가능하고 해석방법 제시함

paper-forensic_analysis_of_the_nintendo_3ds_nand.pdf
2.16MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:57
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Lunch and Posters (프로젝트 관련 자유로운 의견교환)

장 소 : Willamette Falls / University Grill Lounge & Restaurant

주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project



반응형
Posted by CCIBOMB