[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Workshop : CASE(사이버범죄 수사 분석 표준 표현) 온톨로지
   (원제 : The Cyber-investigation Analysis Standard Expression, CASE)

  ◦ 발표자 : Cory Hall

  ◦ 워크숍 내용

     - CASE* 커뮤니티에 대한 현재까지의 진행사항을 설명하고 워크숍에 참가한 분들의 간단한 소개로 워크숍을 시작함

       * 정부 및 법 집행기관, 학술, 영리 및 비영리 기관 등이 모여서 만들고 있으며 효과적으로 사이버수사를 하기위해 수집하는 데이터를 규격화 함

     - CASE는 2015년에 처음으로 아이디어가 발표되었으며 2017년 관련논문이 소개되고 2018년에 8월부터 현재까지 커뮤니티가 만들어지고 있는 과정임

     - 범죄에 사용되는 디지털기기들이 점점 복잡해지고 새로운 기술들이 적용되고 있으며 그에 대응하는 포렌식 도구들이 다양함 (출력되는 결과값이 상이함)

     - 데이터 용량이 기하급수적으로 증가하므로 데이터 결과값을 기계중심이 아닌 사람이 이해할 수 있는 언어로 체계적 재해석할 필요가 있음

     - 상이한 디지털포렌식 도구의 분석결과를 포맷을 통일하여 도구간 교차검증이 가능하도록 함으로써 신뢰성 제고 가능함

     - 상업적인 디지털포렌식 도구들이 분석대상 디지털기기의 데이터베이스를 해석하는 방식이 상이하므로, 결과 포맷의 일괄적인 통일은 쉽지 않은 과제임

     - CASE에 대한 활용방안에 대하여 참가자들의 의견을 모았으며, “포렌식 도구에 대한 신뢰성 확보”, “국제 수사기관과의 데이터 협조”, “ISO 17025 인증”, “개인정보 보호를 위한 규격” 등 다양한 의견이 공유됨

  ◦ 시사점

     - CASE 커뮤니티는 현재 시작되는 단계로, 위원회 참여를 독려하고 있음

     - 많은 디지털포렌식 관련 업체에서 CASE 커뮤니티에 참여하는 만큼, 디지털포렌식 도구에 실제 반영될 가능성이 높음

     - 우리나라도 선제적으로 참여하여 만들어지고 있는 표준 규격(온톨로지)에 의견을 개진할 필요가 있음

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 4

     - 주제 : AFF4 기반의 개방형 논리적 이미지 컨테이너
      (원제 : AFF4-L: A scalable open logical evidence container)

     - 발표자 : Bradley Schatz

     - 발표내용

       △ 클라우드 기반의 증거가 많아지고 스토리지의 물리적 제약(잠금암호, 데이터 암호화 등)이 생기면서 디지털포렌식에서는 논리적 이미징을 해야 하는 경우가 많아짐

       △ 일반적으로 논리적 이미지는 프로그램에 의존적인 형식의 이미지 컨테이너(ex. L01, AD1)가 사용되지만 확장성 및 표현력이 부족하고 상호 운용성이 제한적임

       △ AFF4 기반의 개방형 논리적 이미지 컨테이너는 확장 가능한 임의 메타 데이터 저장 및 중복 제거 된 논리 이미지 저장을 지원함

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 3

     - 주제 : 아동성학대물 수사에 사용되는 포렌식툴, 인공지능필터링, 안전한 제시의 효용성에 대한 전문가 설문조사
      (원제 : A Practitioner Survey Exploring the Value of Forensic Tools, AI, Filtering, & Safer Presentation for Investigating Child Sexual Abuse Material (CSAM))

     - 발표자 : Laura Sanchez

     - 발표내용

       △ 아동 성적 학대물(CSAM) 조사자들의 심리적 외상 또는 트라우마등의 어려움을 줄이기 위해 CSAM 자동 검출도구, 트리아지 모델, 인공지능 필터링등 다양한 기법이 연구되고 있음

       △ 그러나 이러한 기법들의 효용성, 정확성에 대한 실태조사는 많지 않음. 이에 실무자들을 상대로 사용도구 및 기술이 제공하는 가치에 대해 MITRE*와 연계된 사법기관 및 관련조직에 있는 CSAM 실무자들을 상대로 설문조사를 진행함

        * MITRE Corporation: 더 안전한 세상을 만드는 것을 주요 임무로 하는 미국연방 정보 지원 비영리 단체

       △ 설문결과, 안전 보기(safe-viewing)보다 필터링 기술을 더 중요하게 생각하며, 오탐지보다 미탐지에 더 큰 관심이 있는 것으로 확인됨(아동포르노에 노출되는 것은 어쩔 수 없는 직업적 제약으로, 오히려 정확한 탐지를 더욱 중요하게 여김)

       △ 실무자들은 데이터 과학 및 인공 지능(AI)에 익숙하지 않은 것으로 나타났으며 자동 누드 탐지, 연령 추정 및 피부 색조 탐지기능을 가장 많이 활용하고 있는 것으로 나타남

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 2

     - 주제 : Fb해시(디지털포렌식을 위한 새로운 해시 유사도 비교 스키마)
      (원제 : FbHash: A New Similarity Hashing Scheme for Digital Forensics)

     - 발표자 : Monika Singh

     - 발표내용

       △ 전통적인 파일해시 유사도 비교 분석에는 주로 파일 전체영역에 대한 해시를 비교하는 방법을 사용함

       △ 이를 자동화하기 위해 ssdeep, sdhash와 같은 툴에서는 Approximate Matching 알고리즘*을 사용하여 공격자가 파일의 내용을 적절하게 변경하여 최종 해시 서명을 지능적으로 수정하여 탐지를 피할 수 있음.

        * 검사 할 모든 파일에 대해 해시 서명을 생성하고 유사성 점수를 계산 한 다음 알려진 참조 세트와 비교하여 필터링

       △ FbHash는 ‘TF-IDF weighing method’를 이용하여 파일을 블록단위(byte)로 분할하여 해시테이블을 생성한 다음 아래 식을 이용하여 파일(D)의 유사도(Similarity)를 측정하도록 개발된 새로운 해시 유사도 분석툴임

<DFRWS USA 2019> - 4일차

【 2019. 7. 17. 】

□ Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 1

     - 주제 : 후킹 추적기(API 후킹 탐지 자동 분석 시스템)
      (원제 : HookTracer: A System for Automated and Accessible API Hooks Analysis)

     - 발표자 : Andrew Case

     - 발표내용

       △ 악성코드에서 자주 사용되는 해킹 기법인 API Hook의 탐지 및 분석을 위해 메모리 포렌식이 주로 사용되고 있으나 기존 상용툴 및 백신보안업체 제품에서 긍정적 목적의 API Hook 역시 악성코드로 탐지하는 오탐이 빈번히 일어남

       △ 악의적 목적의 API Hook을 정확히 판단하기 위해 기능 개선 된 탐지 툴인 ‘hooktracer’를 개발함(Volatility의 플러그인 형태로 실행)

       △ ‘hooktracer’는 정상적인 범주로 판단되는 API Hook에 대해 ‘hook traces’라는 휴대용 서명을 생성하여 많은 수의 머신에 대해서도 신속한 검사 및 탐지를 할 수 있음

       △ 윈도우 운영체제에서 사용하는 프로세스에 대해 ‘Volatility’의 API Hook기능을 이용하여 Windows API를 후킹하고 정상적인 범주의 메모리 주소영역 및 디렉토리 등을 학습하여 ‘hook traces’를 생성, 이를 벗어나는 Hooks에 대해 탐지하는 알고리즘을 사용