[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       △ 메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자의 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       △ 이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 前 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 ‘시간’ 요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 3

    ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Old Filesystems in New IoT Devices’은 취소됨

     - 주제 : 윈도우 10 운영체제의 Activity 타임라인 포렌식
               (원제 : An Incomplete Tour of the Forensic Implications of the Windows 10 Activity Timeline)

     - 발표자 : Vico Marziale, Ph.D. (BlackBag Technologies)

     - 발표내용

       △ Windows 10 운영체제 버전 1803부터 Activity Timeline 기능이 배포됨

       △ Activity Timeline은 웹사이트 접속, 문서 열람 및 편집, 응용프로그램 실행 등 사용자가 특정 활동(Acitivity)시 많은 유형의 로그를 기록함

       △ 타임라인 기록은 SQLite DB 형식으로 다음 경로에 저장됨

        · C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db

       △ ActivitiesCache.db 파일을 열어보면 8개 테이블을 확인됨

       △ 데이터는 30일까지 저장되지만 SQLite DB형식임을 고려할 때, 복구툴을 이용하여 삭제된 내역 복구될 가능성 제시

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 2

     - 주제 : ‘안드로이드 오토와 구글 어시스턴트’의 아티팩트
              (원제 : Android Auto & Google Assistant – How Google Encourages Hands-Free Motoring)

     - 발표자 : Joshua Hickman

     - 발표내용

      △ 자동차 내에서 안드로이드 기반 휴대전화를 핸즈프리(Hands-Free)로 사용할 수 있는 애플리케이션인 Google Android Auto와 Google Assistant 작동방식 등을 다룸

      △ 세계적으로 41개의 자동차 제조업체들이 Android Auto를 기본적으로 지원하고 있으며, 10개의 제조사들이 내년에 더 많은 지원을 제공할 예정임

      △ 디지털포렌식 분석관들은 Android Auto와 Google Assistant에서 사건해결에 유의미한 아티팩트를 찾는 것이 중요함

      △ 아티팩트 예시

         · Android Auto : 위치 데이터(마지막 사용위치), 마지막 실행시각, 휴대전화가 연결된 차량정보 등

         · Google Assistant : 사용자로부터의 음성입력, 타임스탬프, 임베디드 dhledh 데이터, Android Auto를 통한 Google Assistant 호출 결과로 생성되는 바이너리 프로토콜 버퍼 파일구조 등

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 4

     - 주제 : 사이버범죄 수사 분석 표준 온톨로지 ‘CASE’ 제안
               (원제 : CASE the Cyber-investigation Analysis Standard Expression)

     - 발표자 : Vik Harichandran, Cory Hall (MITRE)

     - 발표내용

       △ 사이버보안 영역이 성장함에 따라 공유정보의 양이 증가하고 있으며, 원활한 공유를 위해 CASE 온톨로지*가 필요함

         * 온톨로지란 사람들이 세상에 대하여 보고 듣고 느끼고 생각하는 것에 대하여 서로 간의 토론을 통하여 합의를 이룬 바를, 개념적이고 컴퓨터에서 다룰 수 있는 형태로 표현한 모델로, 개념의 타입이나 사용상의 제약조건들을 명시적으로 정의한 기술

       △ 서로 다른 국가와 분야간, 조직과 개인간, 분석도구간 조사 데이터를 검증·표준화하여, 결합 및 상호 연관이 목적임

       △ CASE는 국제적으로 오픈소스 형태로 커뮤니티가 개발한 온톨로지로, 2015년경 시작되어 20개 이상의 全세계 공공기관이 참여하고 있음

         ※ 우리나라는 고려대학교 정보보호대학원 이상진 교수가 참여 중임

       △ 사건대응, 대테러, 형사재판, 법과학 등의 영역을 통합 시도 중이며, 곧 CASE 버전 1.0을 확정할 계획임

  - CASE 공식 웹사이트 : https://caseontology.org/

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 교육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       △ CSSL은 美 국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions와 The National Girls Collaborative Project와 협력하고 있음

       △ CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       △ 볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 2

     - 주제 : 탈옥*한 iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)

       * iOS의 탈옥(Jailbreaking)은 Android의 Rooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것

     - 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)

     - 발표내용

       △ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨

       △ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함

       △ Elcomsoft社는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함

         · iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
               Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone

         · iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
                       Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra

       △ 포렌식 도구 XRY 및 Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음

       △ iOS 탈옥은 ① 이전 탈옥버전과 충돌할 우려가 있고, ②이전 탈옥버전의 흔적을 덮어씌울 수 있고, ③‘FindMyiPhone’ 기능을 활성화시킬 수 있고, ④ OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, ⑤ 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음

       △ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함

         · /Applications/Cydia.app

         · /bin and /usr/bin

         · /var/stash & /var/lib/cydia

         · /var/mobile/Library/Preferences

         · /var/MobileDevice/Provisioning profiles

         · /usr/libexec/cydia/*

  - 시사점

     △ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음

     △ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 1

     ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Extreme Damaged Devices Presentation’이 연기됨에 따라, 예정에 없던 발표로 대체 진행됨

     - 주제 : 학교의 사이버위협  (원제 : School Cyber Risk & Challenges for Community Oriented Policing, Crime Prevention and Investigation)

     - 발표자 : Nicholas

     - 발표내용

       △ 학교의 많은 시스템들은 오래되었고, 더 이상 업데이트가 되지 않는 Windows XP 운영체제를 사용하는 경우가 54%에 해당됨(2017년 기준)

       △ 관리되지 않는 컴퓨터, 서버, 프린터 등은 해킹 공격의 온상이 됨

       △ 학생들의 개인정보를 이용하여 피싱공격 등 발생 가능함

       △ 기타 학교 및 학생을 대상으로 한 사이버보안 위협에 대해 개괄적인 발표를 진행함

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 4

     - 주제 : NTFS 클러스터 할당행위 분석을 통한 사용자 데이터 저장위치 탐색 (원제 : Using NTFS Cluster Allocation Behavior to Find the Location of User Data)

     - 발표자 : Martin Karresand (Norwegian Univ. of Science and Technology)

     - 발표내용

       △ 분석해야 할 데이터의 양이 계속하여 증가함에 따라, 디지털포렌식의 우선순위를 설정하기 위한 연구가 필요함

       △ 본 연구는, 분석관이 검색하는 것을 찾을 가능성이 더 높은 디스크 위치를 확인하기 위해, NTFS의 클러스터 할당 알고리즘 동작을 경험적으로 연구함 (VirtubalBox 사용)

       △ 연구결과, 데이터가 디스크의 중앙부에 더 자주 할당되는 것으로 나타남

     - 시사점

       △ NTFS로 포맷된 하드디스크에 대한 디지털포렌식에서 사용자 데이터의 저장위치 예상으로, 우선순위 설정 가능

       △ 샘플링 주파수의 동적 변경으로 해시기반 카빙의 효율성 증가 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 3

     - 주제 : 데이터베이스 포렌식 도구 ‘DB3F & DF-Toolkit’ 개발 (원제 : DB3F & DF-Toolkit: The Database Forensic File Format and the Database Forensic Toolkit)

     - 발표자 : James Wagner (DePaul University)

     - 발표내용

       △ 대부분의 민감하고 개인적인 사용자 데이터는 서로 다른 데이터베이스 관리시스템(DBMS)에 저장됨
         · Oracle : 기업 데이터를 저장하는데 주로 사용됨
         · MySQL : 대부분의 웹서버 백엔드 스토리지 역할을 함
         · SQLite : 스마트폰의 SMS 등 저장용도로 사용됨

       △ DBMS는 운영체제 내에서 자체 스토리지를 관리하기 때문에 각기 다른 포렌식 도구가 필요하나, DBMS 포렌식 아티팩트를 분석하는 도구는 부족한 현실임

       △ 본 연구는, 다른 파일시스템 포렌식 도구의 가이드라인과 같은 표준 DB 저장 포맷으로서, 데이터베이스 포렌식 파일 포맷(DB3F: Database Forensic File Format)을 제시함

       △ 또한, DB3F로 저장된 데이터 분석도구인 DF-Tookit(Database Forensic Toolkit)을 개발하여 발표함

     - DB3F 예시 및 DF-Tookit 다운로드 주소: http://dbgroup.cdm.depaul.edu/DF-Toolkit.html