The DFIR ReportのVolunteer Analyst公募にチャレンジして爆発四散した話

Transcript

1. The DFIR ReportのVolunteer Analyst公募にチャレンジして 爆発四散（サヨナラ!）した話 ssmjp #49, 2025/07/22 @nknskn 1

2. 自己紹介：中西 健太  X：@nknskn  お仕事：ITセキュリティ関連  会社：外販でRed Team/ペネトレ/脆弱性診断/コンサル、社内でCSIRT構築やらパープル系のR&Dやら 

   (New!!) 外向けに「パープルチームトレーニング」をリリース  個人：(New!!) 副業始めました  2025年7月: 【営業】 、【初受注】実績を解除 →「サーバのセキュリティチェック」のはずが「リプレイス＆DevSecOpsをどうにかする」感じに なった件について(近日公開???)  YouTubeの更新ができなくてツラい…  経験値：  ベンダ企業で攻撃系サービス（RT/ペネトレ/診断とか）を一通り、インシデントのハンドリング・調査やらをボチボチ  その他トレーニング講師やら「セキュリティ関連の設定整理 兼 システム移行前後のセキュリティ向上支援」やら  チームマネジメント関連：リソースコントロールやらメンバー育成やら他部署との連携やら  スキル：ざっくりOSCE3ぐらい 2 省略

3. 宣伝  (New!!) 「パープルチームトレーニング」をリリース BarrierCrack、組織のインシデント対応能力を強化するパープルチームトレーニングサービスを提供開始 https://prtimes.jp/main/html/rd/p/000000008.000149241.html  ここでも別のネタ、なにをすべきなの？って部分の一般的な話を公開します 株式会社GRCS: 【8/5開催】物理的侵害からのサイバー攻撃に関する事例と対策を解説～物理セキュリティリスク評価の重要性

   と体制強化のポイント～ https://www.grcs.co.jp/seminar/20250805 ２．組織全体のセキュリティ体制を向上させるためのポイント  (New!!) 副業始めました ご相談はこちらまで → [email protected] ※社(本業)として受けさせていただけると大変嬉しみ… 省略 3

4. 目次  The DFIR Reportとは  今回の公募で求められたこと  チャレンジ 

   Artifactsについて  結果と学び  まとめ 4

5. The DFIR Reportとは  The DFIR Report - Real Intrusions

   by Real Attackers, The Truth Behind the Intrusion https://thedfirreport.com/  X: @TheDFIRReport https://x.com/TheDFIRReport URL Top ToC Timeline X 5

6. The DFIR Reportとは - Threat Report  分析ブログの内容は以下。MITRE ATT&CK＋αをイメージしてもらえればOK 

   Case Summary  MITRE ATT&CK分類での分析: Initial Access～Impact  Timeline  Diamond Model  Indicators (IoCs)  Detections (Zeek & Sigma - Rule ID, Yara)  MITRE ATT&CK Mapping ToC 6

7. 今回の公募で求められたこと  https://github.com/The-DFIR-Report/DFIR-Artifacts の分析  Artifacts（攻撃の痕跡/ログ等）はラボ環境で作成された模様  The DFIR Reportに掲載されるレポートフォーマットでのレポート作成

   （当然英語）  データセット (Windows)  Kapeログ  メモリ  不審なデータ (Binaryファイル等)  Zeek, Sigmaのログデータ 等 7

8. チャレンジ：都合3日（計20時間）ぐらい  手元の環境構築からスタート  SOF-ELKを取ってきたり  Windows 11 VMにツールをいろいろ入れたり 

   Jupyter Notebookでパーサーを書いたり  環境作るのにざっくり12～13時間 →放置してた時間はあるので、実作業時間は半分以下…？（うろ覚え）  分析・レポーティング  パーサー作成と並行  ざっくり7～8時間  1営業日目安で頑張ってみた 8

9. Artifactsについて  巷で噂の「ClickFix 起点でのランサムウェア被害の事案」想定（らしい）  そういやたしかに RunMRU にコマンドの実行痕跡が残ってた…（遠い目）  被害想定（調査対象）：

   Windows Active Directoryで構成されたドメコン・ファイルサーバー・クライアントの3台  タイムライン（うろ覚え） 1. クライアント端末が侵害され、Local Admin/Domain Adminsユーザーが窃取  クライアント端末にはいろいろなソフトウェアがインストール 2. ドメコンに被害拡大  ドメコン上でやられがちなことがいろいろ 3. さらにその後ファイルサーバに被害拡大  当然データの持ち出しが発生 4. ランサムウェアの展開、なお展開は失敗 9

10. 結果（玉砕） …おや…？ うーんつらい 10

11. 11 High Quality Report !!! とな !!!

12. 学び: 見比べてみた結果と反省  要点”の大部分”は押さえられていたように見えた  ClickFixは把握していたが、分析結果と結び付けられなかったのが一番痛かった（個人の感想）  時間をかけなかった分、分析が浅かった。分析脳が染みつくまでは時間を使って頑張りたい  英語のスムーズさ（読みやすさ）が段違い

     英語力を比較しやすかった。「ネイティブ（？）が書く分析レポートとはこういうもんか」感  普段あまり書かないところは比較的時間かかった  Diamond Modelの分類とか。日々訓練が必要  熟練DFIRerが作る想定被害環境は、だいたいイメージ通り  トレンドのテクニックを取り入れるかどうかぐらい  採用試験の作成に生かすのもアリかも（ぼんやり） 12

13. 余談 ～反省を生かして～ 巷で噂のFileFixの場合 - Jumplist  FileFix - A ClickFix

    Alternative | mr.d0x  Eric Zimmerman‘s tools - JumpList Explorer 13

14. 余談 ～反省を生かして～ *Fixの痕跡発見 - ActivitiesCache.db or Memory  Clipboard Historyの有効化が前提

     How to Perform Clipboard Forensics: ActivitiesCache.db, Memory Forensics and Clipboard History  フォレンジックを考えるとHistoryを有効化したいが、Pentester的にはHistoryに パスワードが残るのは嬉しい。実際的には諸刃…  History設定は無効化で、RunMRUとかJumplistとかから判別するかぁ（ぼんやり） 14

15. まとめ  分析環境の整備には時間がかかる  分析環境に限らず、普段から遊べる環境はいろいろ作っておこう  チャレンジしよう。思わぬ副産物があるかもしれない  目的に「環境用意したりツール整備したり」を設定してチャレンジ（大枠は達成）したけど、 他の人のHigh

    Quality Reportをもらえるとは思わなんだ…やったぜ  “分析”これ日々の「知見の収集」と「検証・訓練」なり  “知った”だけだと精度の高い分析はできない（自分の中にIntelligence化されていない）ね、やっぱり  「知った気になってるだけ」ともいう 15

16. ありがとう ございました 16