20190826Forensics公開用

5f9309c6fe879950878bb3d7b039a7b9?s=47 Aqua
August 26, 2019

 20190826Forensics公開用

5f9309c6fe879950878bb3d7b039a7b9?s=128

Aqua

August 26, 2019
Tweet

Transcript

  1. Re:ゼロから始める メモリー&イメージアナリシス

  2. Self-introduction • Name : 解析魔法少女あくあ(•̀ ᴗ•́ )و • Job :

    Magical girl • Twitter : @WinterLabyrinth • Dream : 異世界転生 • Friend : Malware • Favorite Manga : 王様達のヴァイキング • Favorite Anime : 残響のテロル、幼女戦記
  3. Agenda • Forensicsについて • Magical Weapon (使用ツール) • メモリーイメージの解析 •

    イメージコピーの解析 • おまけ : カービング
  4. Forensics • 証拠保全(不正使用されないための証拠品) • 解析 (攻撃者等の動作) • やること • メモリーイメージの取得(プロセス,

    レジストリ, 通信など) • イメージコピーの取得(Full Disk, パーティション, フォルダ) • etc. • ただし本来であれば書き込み禁止装置(ライトブロッカー)や 完全性を保証する行動を取る必要があるが好奇心故、どのような データが取得可能かといった点に焦点を絞る。
  5. Magical Weapon • メモリーアナリシス • volatility (https://www.volatilityfoundation.org/) • Volatility Workbench

    (GUI) • KaniVola (GUI) • イメージアナリシス • FTK imager (https://accessdata.com/product-download/ftk- imager-version-4-2-0) • Autopsy
  6. Evidence • 証拠保全 (通常は直接インストールせずUSBなど外部からパッ ケージ版で使用するそうです) • FTK imager > Select

    Source > Physical Drive
  7. Evidence

  8. Memory analysis • といっても、自分のプロセスは特に何も悪いことをしてなくて面 白くないので、OtterCTF様よりvmmemを提供していただきま す。 また、Writeupといった意味でもありません。 • 頻繁に使うコマンドを紹介しますが、リファレンスを見たほうが いいかもしれません。

    https://github.com/volatilityfoundation/volatility/wiki/Command- Reference
  9. Memory analysis • imageinfo OS サービスパックなどを判定します。 これ以降使用するProfileとして使用します。

  10. Memory analysis • pstree プロセスツリーを表示します。pidでダンプしたりする。 TorrentでなんかダウンロードしたりLunarMSやってますね。

  11. Memory analysis • clipboard • connections, netscanとか 通信とか表示するやつ

  12. Memory analysis • Hive (レジストリー) • hivescan • hivelist •

    printkey このようにメモリダンプからは様々な情報が得られる マルウェアはこういったレジストリに自分自身を登録して 再起動されても自身を起動するようにする傾向がある 参考 コンピュータ名等もレジストリに保管してある。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\C omputerName\ComputerName https://www.technlg.net/windows/computername- registry-key/
  13. Image Analysis • といっても先程のFTK imagerと変わりません。 今回はAutopsyを使います。USBのイメージです。

  14. Image Analysis • ファイルを削除してもまずは削除フラグが立つだけで復元可能

  15. Image Analysis • 何をしてたかタイムラインで閲覧

  16. Carving • Magical weapon • Foremost (おなじみ) • binwalk •

    Bulk Extractor • PhotorRec (凶悪) • セクターサイズを指定してカービング可能
  17. Carving • カービングとは? シグネチャ等からファイルを抜き出す手法 • https://en.wikipedia.org/wiki/List_of_file_signatures • 一見ただの画像に見えても?ZIPが追加されてそう!

  18. Carving • Bulk Extractor https://www.kazamiya.net/en/bulk_extractor-rec • 試しに自分のVMをカービングしてみた。 • search keywordやurl,

    emailなども 抜くことが可能。 • 怖い怖い
  19. Thanks for listening.