Digital Forensics2019. 10. 18. 00:21
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Forensics Rodeo (디지털포렌식 퀴즈대회)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 개최시간 : 19:30 ~ 23:30 

  ◦ 웹사이트 : https://www.dfrws.rodeo

  ◦ 대회방법 및 후기

     - Forensics RodeoDFRWS 학술대회 중 매년 개최되는 디지털포렌식 퀴즈대회임

     - 저녁식사 이후 University Place Hotel 1층 식당에서 개최하였으며 자율적으로 5명 이상의 참가자로 팀을 결성하고 팀별 계정을 부여받음 (필요시, 주최측에서 팀 조정)

     - 사이버보안 관련 공격방어대회의 형식인 CTF(Capture The Flag) 중 문제풀이 방식(Jeopardy)으로 진행됨

     - 주최측에서 알려준 웹사이트에 팀별 계정으로 접속하여, 문제를 확인하고 정답을 기재하는 방식임

     - , 포렌식, 암호, 바이너리 분석 등 카테고리에서 문제 또는 과제를 해결하도록 요구하며, 문제를 풀때마다 점수가 부여되고, 복잡한 문제일수록 더 높은 점수가 부여됨

     - 대형화면에 팀별 실시간 점수와 순위가 공개되고, 대회종료 1시간 각 문제별 힌트가 주어짐

     - 우승자에게는 소정의 상품을 제공하며 대회가 끝나면 각 문제에 대해서 출제자 및 정답자가 문제풀이 발표를 함

     - 23:30까지 대회가 진행됨에도 많은 인원들이 적극적으로 참가하며 열의를 보임

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 18. 00:11
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 1

     - 주제 : 인간행동 정보를 활용한 유효계정의 정상접속 여부 판단
      (원제 : Detection of Lateral Movement Across Valid Accounts by Using Human Behavior in the Physical Environment)

     - 발표자 : Tomohiko Yano

     - 발표내용

       △ 정보통신망침해 범죄에 있어, 공격자가 정상적인 계정을 이용하여 시스템에 로그인한 경우가 많음

       로그온 이벤트에서는 컴퓨터 이름과 계정 이름에 대한 정보만 확인 가능하므로, 해당 계정이 정당한 권원이 있는 사용자의 정상적인 접속인지 판단이 불가함

       이에 대한 해결책으로, 사용자의 PC 앞에 거리센서를 설치하여 온/오프에 따라 정상접속 여부 판단, 로그온 前後 키 스트로크(Key stroke) 이벤트를 활용하는 방안을 제시

       시뮬레이션 연구를 통해 제안한 방안을 활용한 공격자의 비정상접속 여부 검출율을 평가함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:57
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Lunch and Posters (프로젝트 관련 자유로운 의견교환)

장 소 : Willamette Falls / University Grill Lounge & Restaurant

주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project



반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:48
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:42
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       CSSL국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions The National Girls Collaborative Project와 협력하고 있음

       CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:35
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 1

     ※ 기존 프로그램상 Steve Watson(VTO Labs)‘Extreme Damaged Devices Presentation’이 연기됨에 따라, 예정에 없던 발표로 대체 진행됨

     - 주제 : 학교의 사이버위협  (원제 : School Cyber Risk & Challenges for Community Oriented Policing, Crime Prevention and Investigation)

     - 발표자 : Nicholas

     - 발표내용

       △ 학교의 많은 시스템들은 오래되었고, 더 이상 업데이트가 되지 않는 Windows XP 운영체제를 사용하는 경우가 54%에 해당됨(2017년 기준)

       △ 관리되지 않는 컴퓨터, 서버, 프린터 등은 해킹 공격의 온상이 됨

       △ 학생들의 개인정보를 이용하여 피싱공격 등 발생 가능함

       △ 기타 학교 및 학생을 대상으로 한 사이버보안 위협에 대해 개괄적인 발표를 진행함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:32
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 4

     - 주제 : NTFS 클러스터 할당행위 분석을 통한 사용자 데이터 저장위치 탐색 (원제 : Using NTFS Cluster Allocation Behavior to Find the Location of User Data)

     - 발표자 : Martin Karresand (Norwegian Univ. of Science and Technology)

     - 발표내용

       △ 분석해야 할 데이터의 양이 계속하여 증가함에 따라, 디지털포렌식의 우선순위를 설정하기 위한 연구가 필요함

       △ 본 연구는, 분석관이 검색하는 것을 찾을 가능성이 더 높은 디스크 위치를 확인하기 위해, NTFS의 클러스터 할당 알고리즘 동작을 경험적으로 연구함 (VirtubalBox 사용)

       △ 연구결과, 데이터가 디스크의 중앙부에 더 자주 할당되는 것으로 나타남

     - 시사점

       △ NTFS로 포맷된 하드디스크에 대한 디지털포렌식에서 사용자 데이터의 저장위치 예상으로, 우선순위 설정 가능

       △ 샘플링 주파수의 동적 변경으로 해시기반 카빙의 효율성 증가 가능

paper-using_ntfs_cluster_allocation_behavior_to_find_the_location_of_user_data.pdf
0.83MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:27
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 3

     - 주제 : 데이터베이스 포렌식 도구 ‘DB3F & DF-Toolkit’ 개발 (원제 : DB3F & DF-Toolkit: The Database Forensic File Format and the Database Forensic Toolkit)

     - 발표자 : James Wagner (DePaul University)

     - 발표내용

       △ 대부분의 민감하고 개인적인 사용자 데이터는 서로 다른 데이터베이스 관리시스템(DBMS)에 저장됨
         · Oracle : 기업 데이터를 저장하는데 주로 사용됨
         · MySQL : 대부분의 웹서버 백엔드 스토리지 역할을 함
         · SQLite : 스마트폰의 SMS 등 저장용도로 사용됨

       △ DBMS는 운영체제 내에서 자체 스토리지를 관리하기 때문에 각기 다른 포렌식 도구가 필요하나, DBMS 포렌식 아티팩트를 분석하는 도구는 부족한 현실임

       △ 본 연구는, 다른 파일시스템 포렌식 도구의 가이드라인 같은 표준 DB 저장 포맷으로서, 데이터베이스 포렌식 파일 포맷(DB3F: Database Forensic File Format)을 제시함

       △ 또한, DB3F로 저장된 데이터 분석도구인 DF-Tookit(Database Forensic Toolkit)을 개발하여 발표함

     - DB3F 예시 및 DF-Tookit 다운로드 주소: http://dbgroup.cdm.depaul.edu/DF-Toolkit.html

 

paper-db3f_df_toolkit_the_database_forensic_file_format_and_the_database_forensic_toolkit.pdf
1.63MB



반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:23
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

 Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 2

     - 주제 : 삭제된 SQLite의 복구가 가능한 ‘bring2lite’ 도구 개발
               (원제 : bring2lite: a structural Concept and Tool for Forensic Data Analysis and Recovery of Deleted SQLite Records)

     - 발표자 : Harald Baier (University of Applied Sciences, Darmstadt)

     - 발표내용

       △ 현재 WhatsApp, Skype 등 모바일 애플리케이션은 데이터 저장을 위해 SQLite 데이터베이스 형식을 사용함

       디지털포렌식 관점에서 SQLite 데이터베이스 관련 모든 정보를 추출하는 것은 필수적임

       본 연구는 SQLite 데이터베이스에서 데이터를 삭제한 경우, 이에 대한 구조적 복원 방법에 대해 연구함

       데이터 삭제에 영향을 미치는 다른 데이터베이스 매개변수(SQLite pragmas)에 따라 SQLite 삭제동작을 분석하여, 그 결과를 토대로 삭제된 레코드의 복원 기능을 구현함

       ‘bring2lite’라는 도구로 구현된 연구결과를 공유함

  - 시사점 : 공유된 연구결과(https://github.com/bring2lite/bring2lite) 활용하여, 삭제된 SQLite 데이터베이스 복원 시도 가능

paper-bring2lite_a_structural_concept_and_tool_for_forensic_data_analysis_and_recovery_of_deleted_sqlite_records.pdf
1.30MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:21
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer) 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, Chunk 건너뛰기, 유효한 Chunk 시그니처 검색, 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving) 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

paper-syntactical_carving_of_pngs_and_automated_generation_of_reproducible_datasets.pdf
1.21MB

반응형
Posted by CCIBOMB