Autopsyを用いた簡易Forensics

6aca2cc1a76ef86ca0b778a76f853f8a?s=47 narupi
December 16, 2019

 Autopsyを用いた簡易Forensics

AutopsyによるHacking Caseの解析とフォーマット済みUSBからのデータ復元について。
モブセキュリティLT第二回で利用する予定だった資料。

6aca2cc1a76ef86ca0b778a76f853f8a?s=128

narupi

December 16, 2019
Tweet

Transcript

  1. Autopsyを用いた簡易Forensics 2019/11/16 narupi(@ei1528)

  2. 自己紹介  name : narupi  Twitter : @ei1528 

    About : アイコンはプラナリア CTFをしている(Forensicが好き)
  3. 動機  CODE BLUE2019でAutopsyを用いたForensicsの話を聞いた  Autopsyを触ってみる  Forensicsっぽいネタ

  4. 注意事項  ここで得た技術得た知識/技術の悪用厳禁  検証は自己責任  内容はツールを用いた初歩的な内容  初心者なので内容に間違いがある場合がある

  5. 解析データ1  NISTが提供しているForensics用イメージのHacking Caseを利用 (https://www.cfreds.nist.gov/)  廃棄されていたノートパソコンを解析するシナリオ  問題形式でイメージを解析していく(全31の質問) https://www.cfreds.nist.gov/

    https://www.cfreds.nist.gov/
  6. 解析データ2  普段雑に使っているUSB  解析用にimportant.docxを書き込む  フォーマットして他者に譲渡or貸与するシナリオの想定 https://www.cfreds.nist.gov/ https://www.cfreds.nist.gov/

  7. Hacking Caseの解析  CFReDSの設問は無視  DLしたイメージをAutopsyに追加する

  8. Hacking Caseの解析  OSの情報を調査してみる (Autopsyが解析してくれる)

  9. Hacking Caseの解析  解析結果よりノートパソコンで利用していたOS情報、パソコンの名前、利用していたユーザの名 前がわかった

  10. Hacking Caseの解析  タイムラインを見てみる

  11. Hacking Caseの解析  タイムラインから2014/08/19日がPCの利用開始日と推定できる  詳細に調査すればPCのアクティブ時間帯もわかりそう  ブラウザの履歴が残っている場合、いつ何を検索していたのかを調査することができる

  12. Hacking Caseの解析  他には、 正規表現検索によるメールアドレスやクレジットカード情報の取得 画像や実行ファイル等の復元 削除済みファイルの復元 インストールされていたソフトウェアの情報 等ができる

  13. USBの解析  もともとUSBに入っていたデータに加えて Important.docx(右図)を作成

  14. USBの解析  論理フォーマットする

  15. USBの解析  AutopsyでフォーマットしたUSBを解析

  16. USBの解析  論理フォーマットでは解析が可能  過去に書き込んだデータも一部復元できた

  17. 論理フォーマットについて  物理フォーマット後に論理フォーマットにより記憶装置を利用できるようにする  記憶装置に対してファイルシステム(NTFS,exFAT,etc…)を適用する作業  上書きするのはファイルシステムの管理情報とブートセクタ (データ部分は上書きされないがデータの管理情報は初期化される)  クイックフォーマットと通常フォーマットの違いは、不良セクタのチェックを行うかどうか

    (不良セクタが見つかった場合、次回からそのセクタに書き込まないように記録する)
  18. ファイルの復元(File Carving)  オーファンファイル(ファイルシステムの管理から外れ孤立しているファイル)は目的ファイルタイ プのヘッダーとフッターを調査することで復元可能

  19. データを完全に削除する  再利用しない場合は物理的に記憶装置を破壊して廃棄する  Windowsならcipher.exeを利用する(空き容量全体に対して無意味なデータを書き込む) →NTFSの暗号化機能に利用するツールのためNTFSファイルシステムでしか利用できない →空き容量全体に対して複数回データを書き込むため時間がかかる  ディスク全体を削除する場合diskpart.exeを利用する(clean all)

    →ブートセクタ等も削除できる
  20. まとめ  Autopsyは良い感じに解析してくれる  ゼロフィル等で完全にデータを消していない場合、データは簡単に復元できる  他人に記憶装置を渡すときは個人情報漏洩に気をつける(通常のフォーマットでは不十分)

  21. 参考  https://pctrouble.net/storage/format_not_erase.html  https://pctrouble.net/storage/format_difference.html  https://www.atmarkit.co.jp/ait/articles/0303/01/news003.html