学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

Slide 1

Slide 1 text

0 学習向けのフォレンジックデータフォレンジックってどこで遊べますか？

Slide 2

Slide 2 text

1 About Me • 名前 soji256 （読み soːdʑi） • お仕事など • セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • ２０１９年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ（予定） @soji256

Slide 3

Slide 3 text

2 ふと...

Slide 4

Slide 4 text

Slide 5

Slide 5 text

4 たくさんの解析手法が紹介されているけれど．．．

Slide 6

Slide 6 text

5 フォレンジックってどこで遊べばいいの？

Slide 7

Slide 7 text

6 Malware Analyst Pentester Forensicare ？

Slide 8

Slide 8 text

7 ？ Malware Analyst Pentester Forensicare

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

11 さすがSANSさん遊べるメモリイメージを配布して…

Slide 13

Slide 13 text

12 なかった

Slide 14

Slide 14 text

13 フォレンジックも遊べる場所を見つけたい

Slide 15

Slide 15 text

14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード

Slide 16

Slide 16 text

15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image” “Practice” “Training” “DFIR” ...

Slide 17

Slide 17 text

16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics Testing Images”

Slide 18

Slide 18 text

Slide 19

Slide 19 text

18 Find out! （やったぜ） Photo by Samuel Clara on Unsplash

Slide 20

Slide 20 text

19 NIST： The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC • 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を不正に入手していた疑いがある • 備考： • 解析をして31の質問に答えていく • ダウンロードサイズ： 1.2GB • 最終更新日： 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html

Slide 21

Slide 21 text

20 ENISA: Trainings for Cyber Security Specialists • Local Incident Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考： • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを解析していく • ダウンロードサイズ： 6.8GB • 最終更新日： 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

Slide 22

Slide 22 text

21 DFIR Training： Test Images and Challenges • フォレンジック向けのイメージデータ集（RSS付き） • 毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images

Slide 23

Slide 23 text

22 でも

Slide 24

Slide 24 text

23 英語か…… Photo by David Clarke on Unsplash

Slide 25

Slide 25 text

24 諦めるしかないのか...

Slide 26

Slide 26 text

25 ちょっとまってください

Slide 27

Slide 27 text

26 日本には仙台があるじゃないですか

Slide 28

Slide 28 text

27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

Slide 29

Slide 29 text

28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

Slide 30

Slide 30 text

29 ？ Malware Analyst Pentester Forensicare

Slide 31

Slide 31 text

30 Malware Analyst Pentester Forensicare

Slide 32

Slide 32 text

31 ちなみに...

Slide 33

Slide 33 text

32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない • 開催終了で入手困難になりがち https://defcon2019.ctfd.io

Slide 34

Slide 34 text

33 補足：公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち • ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも

Slide 35

Slide 35 text

34 おまけ：こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads

Slide 36

Slide 36 text

35 データは無理でも設問だけなら作れるのでは

Slide 37

Slide 37 text

36 おまけ：楽しいかも

Slide 38

Slide 38 text

37 まとめ • フォレンジックってどこで遊べばいいの？ • “Digital Forensics Testing Images” • 学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示他に「こんなのあるよ」など教えてもらえると嬉しいです

Slide 39

Slide 39 text

38 Thank you! Questions? ＠soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp

Slide 40

Slide 40 text

39 参考文献（1/2）＜フォレンジック向け＞ • The CFReDS Project： Hacking Case • https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA： Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試すプロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

Slide 41

Slide 41 text

40 参考文献（2/2）＜ペネトレ向け＞ • Hack The Box :: Penetration Testing Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com ＜マルウェア解析向け＞ • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会： DFIR LT大会発表者： soji256 発表日： 2019/08/13 公開日： 2019/08/15 版数： 1.0 （初版）