[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 2

     - 주제 : 삭제된 SQLite의 복구가 가능한 ‘bring2lite’ 도구 개발
               (원제 : bring2lite: a structural Concept and Tool for Forensic Data Analysis and Recovery of Deleted SQLite Records)

     - 발표자 : Harald Baier (University of Applied Sciences, Darmstadt)

     - 발표내용

       △ 현재 WhatsApp, Skype 등 모바일 애플리케이션은 데이터 저장을 위해 SQLite 데이터베이스 형식을 사용함

       △ 디지털포렌식 관점에서 SQLite 데이터베이스 관련 모든 정보를 추출하는 것은 필수적임

       △ 본 연구는 SQLite 데이터베이스에서 데이터를 삭제한 경우, 이에 대한 구조적 복원 방법에 대해 연구함

       △ 데이터 삭제에 영향을 미치는 다른 데이터베이스 매개변수(SQLite pragmas)에 따라 SQLite 삭제동작을 분석하여, 그 결과를 토대로 삭제된 레코드의 복원 기능을 구현함

       △ ‘bring2lite’라는 도구로 구현된 연구결과를 공유함

  - 시사점 : 공유된 연구결과(https://github.com/bring2lite/bring2lite)를 활용하여, 삭제된 SQLite 데이터베이스 복원 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer)를 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, ② Chunk 건너뛰기, ③ 유효한 Chunk 시그니처 검색, ④ 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, ⑤ 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving)를 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Lunch with Birds of a Feather (프로젝트 관련 자유로운 의견교환)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 주 제 : 1. Access & Accessibility
             2. Evidence Interoperability (CASE/AFF4)
             3. Forensic intrusion analysis
             4. IoT Hardware Acquisition & Analysis
             5. Locked device exploitation
             6. Reverse Engineering
             7. Volatile memory Analysis

□ Works In Progress (5분간 아이디어 또는 프로젝트 공유)

  ◦ 개 요 : DFRWS USA 2019 참가자 중 사전 신청자에게 5분간 디지털포렌식 관련 자신의 아이디어 또는 진행 중이거나 계획 중인 프로젝트에 대하여 발표 시간 부여

  ◦ 분위기 : 자발적인 참여로 활발한 논의가 진행되었으며, 서로 관심 있는 분야를 연구하는 참가자들간 교환의 장(場)이 됨

  ◦ 주 제 : 1. DFC 2019 – Challenge
             2. Smart Phone Flash Tool(spflashtools.com)
             3. Smart Password Search

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 2

     - 주제 : HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식
              (원제 : Inception: Virtual Space in Memory Space in Real Space - Memory Forensics of Immersive Virtual Reality with the HTC Vive)

               * HTC社에서 개발한, 머리에 착용하는 가상현실 디스플레이 장치

     - 발표자 : Peter Casey (University of New Haven)

     - 발표내용

       △ 몰입형 가상현실 시스템인 HTC Vive의 메모리 포렌식을 통해, VR기기의 가상환경(VE), 위치, 상태 등을 추출하고, 가상환경 설정의 시각화 재구성 가능성 확인

       △ HTC Vive의 데이터 추출 자동화를 위해 Volatility 프레임워크를 위한 VR 메모리 포렌식 플러그인(vivedump) 제작

     - 시사점

       △ VR(가상현실), AR(증강현실), MR(혼합현실) 등의 기술을 활용하는 사례가 많아짐에 따라, 가상환경(VE: Virtual Environment)에 대한 디지털 포렌식 분석 필요성 증가

       △ 각 제조사별 기기에 따라 상이한 추출방법, 분석방법이 필요하므로, 선제적인 연구 및 대응 필요

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 1

     - 주제 : 윈도우 메모리 포렌식(PTE 검사를 통한 코드인젝션 탐지)
               (원제 : Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries)

     - 발표자 : Frank Block (ERNW)

     - 발표내용

       △ 악성프로그램은 다른 프로세스를 조작하거나 그 존재를 숨기기 위해 코드인젝션 기법을 이용함

       △ 인젝션된 악성코드는 적어도 어느 순간 CPU에 의해 실행됨

       △ 기존 코드인젝션 탐지 도구들로부터 탐지가 불가능한 실행가능한 페이지(executable pages)들의 은닉 기법과 새로운 탐지 기법을 발견함

       △ 연구결과를 메모리 포렌식 프레임워크인 ‘Rekall*’의 플러그인(ptenum) 방식으로 구현함

         * Google에서 메모리포렌식 오픈소스 툴인 ‘Volatility’를 기반 제작함

     - 시사점 : 코드인젝션 탐지 필요시 Rekall 플러그인(ptenum) 활용

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 4 : 오픈소스 악성코드 분석도구 ‘Ghidra’ 소개
    (원제: Introduction to Ghidra Malware Analysis)

  ◦ 발표자 : Erika Noerenberg (Carbon Black)

  ◦ 발표내용

     - Ghidra는 美 국가안보국(NSA)의 사이버보안 임무 수행을 위해 연구 담당부서에서 개발한 역어셈블러 프레임워크임

     - ’19. 4. 4.경 Github에 모든 운영체제(macOS, Linux, Windows)를 지원하는 소스코드를 공개함

     - 분석가들은 필요에 따라 Ghidra의 기능 확장 및 협력 가능함

  ◦ 시사점 : 상용 툴인 IDA Pro와 교차분석 등으로 활용 가능

  ◦ 실습내용

     - Ghidra를 이용해 ‘WannaCry’ 랜섬웨어의 킬스위치를 찾고, 악성코드를 언팩킹(Unpacking)하는 실습 진행

     - Ghidra 다운로드 주소 : http://ghidra-sre.org (9.0.2 패치)

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 3 : 메모리 추출의 로우레벨 (low-level)
   (원제: Behind the scenes of memory extraction)

  ◦ 발표자 : Joe FitzPatrick (SecuringHardware.com)

  ◦ 발표내용

     - 메모리 추출은 디지털 포렌식 분석을 위한 첫 번째 단계로서, 다양한 무료·상용, S/W·H/W 방식의 툴들을 이용함

     - 메모리 추출의 가장 낮은 단계(the lowest level)에서 하드웨어 장치가 메모리에 접근하는 방법에 대해 기술적인 설명함

  ◦ 실습내용

     - 고성능 임베디드 시스템*의 일종인 ‘Intel Galileo C4’ 보드, 리눅스 커맨드라인 툴 등을 이용하여 메모리 추출 및 분석

       * 오픈소스를 기반으로 한 단일보드 마이크로 컨트롤러로 완성된 보드

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 2 : 디지털포렌식 Triage 도구 ‘KAPE’ 소개
   (원제: KAPE: What’s all the buzz about?)

  ◦ 발표자 : Mark Hallman (SANS Institute)

  ◦ 발표내용

     - 최근 SANS Institute에서 개발한 KAPE(Kroll Artifact Parser and Extractor)라는 디지털포렌식 Triage 도구* 소개

       * 현장에서 짧은 시간 안에 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집하주는 포렌식 도구

     - KAPE는 분석관의 필요에 따라 포렌식적으로 가장 관련있는 아티팩트(Artifact)*를 수분 내에 추출, 분석하는 무료도구임

       * 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

     - KAPE의 주요기능은 1)파일 수집과 2)수집된 파일을 하나 이상의 프로그램(모듈 확장 가능)으로 분석해주는 것임

◦ 실습내용

     - 윈도우 운영체제가 설치된 노트북을 지참하여, KAPE를 다운로드받아 1) 커스텀 타겟과 모듈 생성방법, 2) 기기 및 저장매체별 필수적인 데이터 수집방법 등에 대해 실습함

     - KAPE 도구 다운로드 주소 : http://bit.ly/get-kape

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 1 : 증기를 이용한 새로운 메모리 칩오프 기법 소개
   (원제: Introducing a New Method for Chip-Off Success: Vapor Phase)

  ◦ 발표자 : Steve Watson (VTO Labs), David Rathbone

  ◦ 발표내용

     - 데이터 획득을 위한 표준 디지털포렌식 기법이 실패할 경우, 분석가들은 메모리 칩오프(chip-off)* 기법을 사용

       * 휴대전화나 기타 임베디드 기기가 정상 작동되지 않는 경우, 해당 기기에서 메모리 칩을 떼어내 데이터를 추출하고 복구하는 분석기법

     - 전자제품 제조 및 디지털포렌식 산업 전반에 걸쳐, 인쇄회로기판(PCB)에서 칩을 제거하는 다양한 방법이 존재

     - 전자제품 제조업계는 사용하고 있으나, 디지털포렌식 분야에서는 적용한 바 없는 ‘증기’를 이용한 칩오프 기법을 소개

     - 이른 바 ‘Vapor phase reflow’는 기존 기법(Heat-gun, Milling을 이용한 방식 등)에서 발견되는 위험을 최소화하며 안정적이고 일관되게 칩오프 가능

     - ‘Vapor phase reflow oven(증기 역류 오븐)’ 기기*를 이용한 메모리 칩오프 시연회를 통해, 해당 장비 및 기법 직접 확인함

       * 퍼플루오로폴리에테르(perfluoropolyether) 등을 끓여 증기를 생성, 밀도가 높은 PCB에 고르게 열을 전달함. 산소로부터 밀폐되어 산화 방지됨

  ◦ 시연장면

<DFRWS USA 2019>

□ 개요

  ◦ 행사명 : DFRWS(Digital Forensic Research Workshop) USA 2019

  ◦ 기 간 : ’19. 7. 14.(日)~ 7. 17.(水)

  ◦ 장 소 : 미국 오레곤주 포틀랜드 주립대 플레이스 호텔 (University Place Hotel, Portland State University)

  ◦ 연 혁

     - (DFRWS USA) ’01. 8. 미국 뉴욕주 Utica에서 최초 개최

     - (DFRWS EU) ’14. 5. 네덜란드 Amsterdam에서 최초 개최

     - (DFRWS APAC) ’20. 9. 호주 Sydney에서 최초 개최 예정

  ◦ 주요 내용

     - DFRWS*는 ’01. 8.경부터 디지털포렌식 분야의 과학적 연구 및 통합적 접근을 통한 발전을 목적으로 매년 개최하는 학술대회

       * DFRWS(Digital Forensic Research Workshop) : 디지털포렌식의 연구 및 개발을 논의하기 위해 全세계 산학연관이 협력하여 구성된 비영리 단체

     - 디지털포렌식 분야에서 가장 권위있는 학술대회로, 학계, 연구기관, 법집행기관, 민간의 포렌식분야 실무자 등이 최근 기술 경향, 연구 결과 등에 대하여 심도깊은 논의 진행

     - 법원과 기타 의사결정자들의 판단에 있어서 절차 外 조작자의 전문성, 도구의 신뢰성을 충족시키기 위한 방안 연구 등

  ◦ 학술대회 진행방식

     - 5개 분야*로 형식을 구분하여, 메모리·사물인터넷 포렌식, 악성코드 분석 등 다양한 주제에 대한 연구결과 등 공유

       * DFRWS 5개 분야: Research papers, Presentation proposal, Panel proposals, Workshop proposals, Demo proposals

     - 학계·산업계·정부기관·법집행기관 등 다양한 분야의 실무가, 전문가들이 각자의 경험, 지식, 아이디어 등을 활발히 공유