Digital Forensics2019. 10. 17. 23:08
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 1

     - 주제 : 윈도우 메모리 포렌식(PTE 검사를 통한 코드인젝션 탐지)
               (원제 : Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries)

     - 발표자 : Frank Block (ERNW)

     - 발표내용

       △ 악성프로그램은 다른 프로세스를 조작하거나 그 존재를 숨기기 위해 코드인젝션 기법을 이용함

       △ 인젝션된 악성코드는 적어도 어느 순간 CPU에 의해 실행됨

       △ 기존 코드인젝션 탐지 도구들로부터 탐지가 불가능한 실행가능한 페이지(executable pages)들의 은닉 기법과 새로운 탐지 기법을 발견함

       △ 연구결과를 메모리 포렌식 프레임워크인 ‘Rekall*’의 플러그인(ptenum) 방식으로 구현함

         * Google에서 메모리포렌식 오픈소스 툴인 ‘Volatility’를 기반 제작함

     - 시사점 : 코드인젝션 탐지 필요시 Rekall 플러그인(ptenum) 활용

paper-windows_memory_forensics_detecting_unintentionally_hidden_injected_code_by_examining_page_table_entries.pdf
0.80MB

 

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:05
반응형

<DFRWS USA 2019> - 1일차

 

 2019. 7. 14. 

Workshop 4 : 오픈소스 악성코드 분석도구 ‘Ghidra’ 소개
    (원제: Introduction to Ghidra Malware Analysis)

  ◦ 발표자 : Erika Noerenberg (Carbon Black)

  ◦ 발표내용

     - Ghidra국가안보국(NSA)의 사이버보안 임무 수행을 위해 연구 담당부서에서 개발한 역어셈블러 프레임워크임

     - ’19. 4. 4.Github에 모든 운영체제(macOS, Linux, Windows)를 지원하는 소스코드를 공개함

     - 분석가들은 필요에 따라 Ghidra의 기능 확장 및 협력 가능함

 

<Ghidra의 주요 기능>

다양한 운영체제에서 컴파일된 코드를 분석하는 소프트웨어

디스어셈블리, 어셈블리, 디컴파일, 그래프, 스크립팅 등 분석기능 제공

사용자 대화형 또는 자동 모드로, 다양한 실행파일 포맷 분석 가능

분석가들은 Ghidra 플러그인 구성에서 필요한 API를 추가 가능

 

  ◦ 시사점 : 상용 툴인 IDA Pro와 교차분석 등으로 활용 가능

  ◦ 실습내용

     - Ghidra를 이용해 ‘WannaCry’ 랜섬웨어의 킬스위치를 찾고, 악성코드를 언팩킹(Unpacking)하는 실습 진행

     - Ghidra 다운로드 주소 : http://ghidra-sre.org (9.0.2 패치)



반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 23:00
반응형

<DFRWS USA 2019> - 1일차

 

 2019. 7. 14. 

Workshop 3 : 메모리 추출의 로우레벨 (low-level)
   (원제: Behind the scenes of memory extraction)

  ◦ 발표자 : Joe FitzPatrick (SecuringHardware.com)

  ◦ 발표내용

     - 메모리 추출은 디지털 포렌식 분석을 위한 첫 번째 단계로서, 다양한 무료·상용, S/W·H/W 방식의 툴들을 이용함

     - 메모리 추출의 가장 낮은 단계(the lowest level)에서 하드웨어 장치가 메모리에 접근하는 방법에 대해 기술적인 설명함

  ◦ 실습내용

     - 고성능 임베디드 시스템*의 일종인 ‘Intel Galileo C4’ 보드, 리눅스 커맨드라인 툴 등을 이용하여 메모리 추출 및 분석

       * 오픈소스를 기반으로 한 단일보드 마이크로 컨트롤러로 완성된 보드

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 22:57
반응형

<DFRWS USA 2019> - 1일차

 

 2019. 7. 14. 

Workshop 2 : 디지털포렌식 Triage 도구 ‘KAPE’ 소개
   (원제: KAPE: What’s all the buzz about?)

  ◦ 발표자 : Mark Hallman (SANS Institute)

  ◦ 발표내용

     - 최근 SANS Institute에서 개발한 KAPE(Kroll Artifact Parser and Extractor)라는 디지털포렌식 Triage 도구* 소개

       * 현장에서 짧은 시간 안에 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집하주는 포렌식 도구

     - KAPE는 분석관의 필요에 따라 포렌식적으로 가장 관련있는 아티팩트(Artifact)*를 수분 내에 추출, 분석하는 무료도구임

       * 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

     - KAPE의 주요기능은 1)파일 수집과 2)수집된 파일을 하나 이상의 프로그램(모듈 확장 가능)으로 분석해주는 것임

실습내용

     - 윈도우 운영체제가 설치된 노트북을 지참하여, KAPE를 다운로드받아 1) 커스텀 타겟과 모듈 생성방법, 2) 기기 및 저장매체별 필수적인 데이터 수집방법 등에 대해 실습함

     - KAPE 도구 다운로드 주소 : http://bit.ly/get-kape

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 22:54
반응형

<DFRWS USA 2019> - 1일차

 

2019. 7. 14.

Workshop 1 : 증기를 이용한 새로운 메모리 칩오프 기법 소개
   (원제: Introducing a New Method for Chip-Off Success: Vapor Phase)

  ◦ 발표자 : Steve Watson (VTO Labs), David Rathbone

  ◦ 발표내용

     - 데이터 획득을 위한 표준 디지털포렌식 기법이 실패할 경우, 분석가들은 메모리 칩오프(chip-off)* 기법을 사용

       * 휴대전화나 기타 임베디드 기기가 정상 작동되지 않는 경우, 해당 기기에서 메모리 칩을 떼어내 데이터를 추출하고 복구하는 분석기법

     - 전자제품 제조 및 디지털포렌식 산업 전반에 걸쳐, 인쇄회로기판(PCB)에서 칩을 제거하는 다양한 방법이 존재

     - 전자제품 제조업계는 사용하고 있으나, 디지털포렌식 분야에서는 적용한 바 없는 증기를 이용한 칩오프 기법을 소개

     - 이른 바 ‘Vapor phase reflow’는 기존 기법(Heat-gun, Milling을 이용한 방식 등)에서 발견되는 위험을 최소화하며 안정적이고 일관되게 칩오프 가능

     - ‘Vapor phase reflow oven(증기 역류 오븐)기기*를 이용한 메모리 칩오프 시연회를 통해, 해당 장비 및 기법 직접 확인

       * 퍼플루오로폴리에테르(perfluoropolyether) 등을 끓여 증기를 생성, 밀도가 높은 PCB에 고르게 열을 전달함. 산소로부터 밀폐되어 산화 방지됨

  ◦ 시연장면

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 22:15
반응형

<DFRWS USA 2019>

 

개요

  ◦ 행사명 : DFRWS(Digital Forensic Research Workshop) USA 2019

  ◦ : ’19. 7. 14.()~ 7. 17.()

  ◦ : 미국 오레곤주 포틀랜드 주립대 플레이스 호텔 (University Place Hotel, Portland State University)

  ◦ 연 혁

     - (DFRWS USA) ’01. 8. 미국 뉴욕주 Utica에서 최초 개최

     - (DFRWS EU) ’14. 5. 네덜란드 Amsterdam에서 최초 개최

     - (DFRWS APAC) ’20. 9. 호주 Sydney에서 최초 개최 예정

  ◦ 주요 내용

     - DFRWS*’01. 8.경부터 디지털포렌식 분야의 과학적 연구 통합적 접근을 통한 발전을 목적으로 매년 개최하는 학술대회

       * DFRWS(Digital Forensic Research Workshop) : 디지털포렌식의 연구 및 개발을 논의하기 위해 세계 산학연관이 협력하여 구성된 비영리 단체

     - 디지털포렌식 분야에서 가장 권위있는 학술대회로, 학계, 연구기관, 법집행기관, 민간의 포렌식분야 실무자 등이 최근 기술 경향, 연구 결과 등에 대하여 심도깊은 논의 진행

     - 법원과 기타 의사결정자들의 판단에 있어서 절차 조작자의 전문성, 도구의 신뢰성을 충족시키기 위한 방안 연구 등

  ◦ 학술대회 진행방식

     - 5개 분야*로 형식을 구분하여, 메모리·사물인터넷 포렌식, 악성코드 분석 등 다양한 주제에 대한 연구결과 등 공유

       * DFRWS 5개 분야: Research papers, Presentation proposal, Panel proposals, Workshop proposals, Demo proposals

     - 학계·산업계·정부기관·법집행기관 등 다양한 분야의 실무가, 전문가들이 각자의 경험, 지식, 아이디어 등을 활발히 공유

반응형
Posted by CCIBOMB