Digital Forensics2019. 10. 17. 16:25
반응형

<DFRWS USA 2019> - 4일차

 

 2019. 7. 17. 

Workshop : CASE(사이버범죄 수사 분석 표준 표현) 온톨로지
   (원제 : The Cyber-investigation Analysis Standard Expression, CASE)

  ◦ 발표자 : Cory Hall

  ◦ 워크숍 내용

     - CASE* 커뮤니티에 대한 현재까지의 진행사항을 설명하고 워크숍에 참가한 분들의 간단한 소개로 워크숍을 시작함

       * 정부 및 법 집행기관, 학술, 영리 및 비영리 기관 등이 모여서 만들고 있으며 효과적으로 사이버수사를 하기위해 수집하는 데이터를 규격화 함

     - CASE2015년에 처음으로 아이디어가 발표되었으며 2017년 관련논문이 소개되고 2018년에 8월부터 현재까지 커뮤니티가 만들어지고 있는 과정임

     - 범죄에 사용되는 디지털기기들이 점점 복잡해지고 새로운 기술들이 적용되고 있으며 그에 대응하는 포렌식 도구들이 다양함 (출력되는 결과값이 상이함)

     - 데이터 용량이 기하급수적으로 증가하므로 데이터 결과값을 기계중심이 아닌 사람이 이해할 수 있는 언어로 체계적 재해석할 필요가 있음

     - 상이한 디지털포렌식 도구의 분석결과를 포맷을 통일하여 도구간 교차검증이 가능하도록 함으로써 신뢰성 제고 가능함

     - 상업적인 디지털포렌식 도구들이 분석대상 디지털기기의 데이터베이스를 해석하는 방식이 상이하므로, 결과 포맷의 일괄적인 통일은 쉽지 않은 과제임

     - CASE에 대한 활용방안에 대하여 참가자들의 의견을 모았으며, “포렌식 도구에 대한 신뢰성 확보”, “국제 수사기관과의 데이터 협조”, “ISO 17025 인증”, “개인정보 보호를 위한 규격등 다양한 의견이 공유됨

  ◦ 시사점

     - CASE 커뮤니티는 현재 시작되는 단계로, 위원회 참여를 독려하고 있음

     - 많은 디지털포렌식 관련 업체에서 CASE 커뮤니티에 참여하는 만큼, 디지털포렌식 도구에 실제 반영될 가능성이 높음

     - 우리나라도 선제적으로 참여하여 만들어지고 있는 표준 규격(온톨로지)에 의견을 개진할 필요가 있음

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 16:23
반응형

<DFRWS USA 2019> - 4일차

 

 2019. 7. 17. 

 Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 4

     - 주제 : AFF4 기반의 개방형 논리적 이미지 컨테이너
      (원제 : AFF4-L: A scalable open logical evidence container)

     - 발표자 : Bradley Schatz

     - 발표내용

       △ 클라우드 기반의 증거가 많아지고 스토리지의 물리적 제약(잠금암호, 데이터 암호화 등)이 생기면서 디지털포렌식에서는 논리적 이미징을 해야 하는 경우가 많아짐

       일반적으로 논리적 이미지는 프로그램에 의존적인 형식의 이미지 컨테이너(ex. L01, AD1)가 사용되지만 확장성 및 표현력이 부족하고 상호 운용성이 제한적임

       AFF4 기반의 개방형 논리적 이미지 컨테이너는 확장 가능한 임의 메타 데이터 저장 및 중복 제거 된 논리 이미지 저장을 지원함

 

paper-aff4_l_a_scalable_open_logical_evidence_container.pdf
0.79MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 15:29
반응형

<DFRWS USA 2019> - 4일차

 

 2019. 7. 17. 

 Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 3

     - 주제 : 아동성학대물 수사에 사용되는 포렌식툴, 인공지능필터링, 안전한 제시의 효용성에 대한 전문가 설문조사
      (원제 : A Practitioner Survey Exploring the Value of Forensic Tools, AI, Filtering, & Safer Presentation for Investigating Child Sexual Abuse Material (CSAM))

     - 발표자 : Laura Sanchez

     - 발표내용

       △ 아동 성적 학대물(CSAM) 조사자들의 심리적 외상 또는 트라우마등의 어려움을 줄이기 위해 CSAM 자동 검출도구, 트리아지 모델, 인공지능 필터링등 다양한 기법이 연구되고 있음

       그러나 이러한 기법들의 효용성, 정확성에 대한 실태조사 많지 않음. 이에 실무자들을 상대로 사용도구 및 기술이 제공하는 가치에 대해 MITRE*와 연계된 사법기관 및 관련조직에 있는 CSAM 실무자들을 상대로 설문조사를 진행함

        * MITRE Corporation: 더 안전한 세상을 만드는 것을 주요 임무로 하는 미국연방 정보 지원 비영리 단체

       설문결과, 안전 보기(safe-viewing)보다 필터링 기술을 더 중요하게 생각하며, 오탐지보다 미탐지에 더 큰 관심이 있는 것으로 확인됨(아동포르노에 노출되는 것은 어쩔 수 없는 직업적 제약으로, 오히려 정확한 탐지를 더욱 중요하게 여김)

       실무자들은 데이터 과학 및 인공 지능(AI)에 익숙하지 않은 것으로 나타났으며 자동 누드 탐지, 연령 추정 및 피부 색조 탐지기능을 가장 많이 활용하고 있는 것으로 나타남

paper-a_practitioner_survey_exploring_the_value_of_forensic_tools_ai_filtering_safer_presentation_for_investigating_child_sexual_abuse_material_csam.pdf
1.60MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 15:27
반응형

<DFRWS USA 2019> - 4일차

 

 2019. 7. 17. 

 Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 2

     - 주제 : Fb해시(디지털포렌식을 위한 새로운 해시 유사도 비교 스키마)
      (원제 : FbHash: A New Similarity Hashing Scheme for Digital Forensics)

     - 발표자 : Monika Singh

     - 발표내용

       △ 전통적인 파일해시 유사도 비교 분석에는 주로 파일 전체영역에 대한 해시를 비교하는 방법을 사용함

       이를 자동화하기 위해 ssdeep, sdhash와 같은 툴에서는 Approximate Matching 알고리즘*을 사용하여 공격자가 파일의 내용을 적절하게 변경하여 최종 해시 서명을 지능적으로 수정하여 탐지를 피할 수 있음.

        * 검사 할 모든 파일에 대해 해시 서명을 생성하고 유사성 점수를 계산 한 다음 알려진 참조 세트와 비교하여 필터링

       FbHash‘TF-IDF weighing method’를 이용하여 파일을 블록단위(byte)로 분할하여 해시테이블을 생성한 다음 아래 식을 이용하여 파일(D)의 유사도(Similarity)를 측정하도록 개발된 새로운 해시 유사도 분석툴임

paper-fbhash_a_new_similarity_hashing_scheme_for_digital_forensics.pdf
2.04MB

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 15:24
반응형

<DFRWS USA 2019> - 4일차

 

 2019. 7. 17. 

Session IV: Special Topics in Forensics (포렌식 특별주제)

  ◦ 좌 장 : Wietse Venema, Ph.D. (Google)

  ◦ 발표 1

     - 주제 : 후킹 추적기(API 후킹 탐지 자동 분석 시스템)
      (원제 : HookTracer: A System for Automated and Accessible API Hooks Analysis)

     - 발표자 : Andrew Case

     - 발표내용

       △ 악성코드에서 자주 사용되는 해킹 기법인 API Hook의 탐지 및 분석을 위해 메모리 포렌식이 주로 사용되고 있으나 기존 상용툴 및 백신보안업체 제품에서 긍정적 목적의 API Hook 역시 악성코드로 탐지하는 오탐이 빈번히 일어남

       악의적 목적의 API Hook을 정확히 판단하기 위해 기능 개선 된 탐지 툴인 ‘hooktracer’를 개발함(Volatility의 플러그인 형태로 실행)

       ‘hooktracer’는 정상적인 범주로 판단되는 API Hook에 대해 ‘hook traces’라는 휴대용 서명을 생성하여 많은 수의 머신에 대해서도 신속한 검사 및 탐지를 할 수 있음

       윈도우 운영체제에서 사용하는 프로세스에 대해 ‘Volatility’ API Hook기능을 이용하여 Windows API를 후킹하고 정상적인 범주의 메모리 주소영역 및 디렉토리 등을 학습하여 ‘hook traces’를 생성, 이를 벗어나는 Hooks에 대해 탐지하는 알고리즘을 사용

paper-hooktracer_a_system_for_automated_and_accessible_api_hooks_analysis.pdf
1.77MB

반응형
Posted by CCIBOMB