Upgrade to Pro — share decks privately, control downloads, hide ads and more …

フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools

soji256
November 04, 2019
Technology
5
6.1k

フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools

2019年 TMCIT × 大和セキュリティ MAIR忍者チャレンジ (11月3-4日) LT資料

soji256

November 04, 2019
Tweet

More Decks by soji256

See All by soji256
学習向けのフォレンジックデータ / Where can I get the images to learn DFIR
soji256
6
8.7k

Other Decks in Technology

See All in Technology
ChatGPTとこころを整理してみる
nagauta
0
360
Amazon VPC Lattice を使い始める前におさえておきたいポイント n 選 / Introduction to VPC Lattice
hayaok3
1
900
ChatGPTがもたらす新しいチーム開発の現場
satoshirobatofujimoto
0
170
MagicPod開発における テスト自動化とCI
nozomiito
0
120
Datadogで実現するセキュリティ オブザーバビリティ
taka2noda
1
170
ブロックテーマでどう変わる?新しいWordPressのWebサイト制作
tbshiki
0
140
Supporting a Sustainable Fast Flow of Change with Effective Enabling Teams
emgsilva
2
110
KEDAで始めるイベント駆動システム #k8snovice / keda-tutorial
chmikata
1
130
『AWSではじめるクラウドセキュリティ』の裏側を。
ryohatanmonolog
2
210
とあるQAエンジニアが、マイクロサービスの開発チームと、出会ったーー / Scrum Fest Niigata 2023
yoyakoba
0
130
MySQL Architectures - Design the Right Solution for Your Needs
lefred
1
110
ChatGPTをどう使うか?(JJUGナイトセミナー5/23)
shin_higuchi
0
700

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
16
1.2k
From Idea to $5000 a Month in 5 Months
shpigford
374
45k
Six Lessons from altMBA
skipperchong
16
2.5k
Fashionably flexible responsive web design (full day workshop)
malarkey
395
64k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
5
6.4k
The Cult of Friendly URLs
andyhume
70
5.2k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
18k
Debugging Ruby Performance
tmm1
68
11k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
35
9.6k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6k
It's Worth the Effort
3n
179
26k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k

Transcript

  1. 0
    フォレンジックアーティファクト収集ツール
    MAIR忍者チャレンジLT資料 - 2019/11/4

    View Slide

  2. 1
    About Me
    • 名前 soji256 (そーじ/そうじ)
    • お仕事など
    • セキュリティの世界に関わったのは 2016 年の後半から
    • 以前は主にシステム開発に関わる業務に従事していました
    • マルウェア解析も楽しいです
    • 楽しんだもの
    • 2017年 11月 Hardening 2017 Fes
    • 2018年 3月 SANS FOR 508
    • 2018年 10月 TMCIT × 大和セキュリティ DFIR 忍者チャレンジ
    • 2019年 3月 Black Hat Asia 2019
    • 2019年 11月 TMCIT × 大和セキュリティ MAIR 忍者チャレンジ (now)
    @soji256

    View Slide

  3. 2
    ここから本題

    View Slide

  4. 3
    フォレンジックアーティファクト収集ツール
    • フォレンジックにとって特に重要なデータを自動収集するツールのこと
    • “Forensic Artifacts Collecting Tool” などと呼ばれる
    • ファストフォレンジックの向けのツール

    View Slide

  5. 4
    たくさんあったので
    調べてみました

    View Slide

  6. 5
    フォレンジックアーティファクト収集ツールの比較表
    # Tool Name $MFT $UsnJrnl $LogFile Evtx Registry Prefetch
    Browser
    History
    Memory
    Dump
    1
    CDIR
    Collector
    OK OK - OK OK
    (+.log)
    OK
    IE/Edge,
    Chrome,
    Firefox
    OK
    2 CyLR OK OK OK OK OK
    (+.log)
    OK
    IE/Edge,
    Chrome,
    Firefox
    -
    3
    Live
    Response
    Collection
    OK OK OK OK OK OK
    IE/Edge,
    Chrome,
    Firefox
    OK
    出典: 「インシデントレスポンス初動対応時のデータ収集ツール – setodaNote」

    View Slide

  7. 6
    完璧?
    いいえ、足りてません。
    → 実は星取表に表しきれない
    差異がいろいろありました。

    View Slide

  8. 7
    より具体的に
    比較してみました

    View Slide

  9. 8

    View Slide

  10. 9
    いま発表に使っているPCを対象に検証しました
    • OS: Windows 10 Pro
    • CPU: i5-5200U
    • Memory: 4GB
    • 記憶装置: SSD
    USBメモリを
    使って
    ツールを実行
    ※古いUSBメモリなので USB3.0 未対応です。

    View Slide

  11. 10
    検証

    View Slide

  12. 11
    検証項目
    • データ取得に要した時間 (USBメモリ上で実行)
    • データ取得の合計サイズ
    • 取得データ詳細: $UsnJrn
    • 取得データ詳細: レジストリ
    • 取得データ詳細: Prefetch
    • 取得データ詳細: Web Browser
    • 以下は特に興味深い差異がなかったため結果紹介は省略
    • 取得データ詳細: $MFT
    • 取得データ詳細: $LogFile
    • 取得データ詳細: Windows イベントログ
    ※この検証では、環境初期化等
    は行わずに、以下の順でツール
    を実行しています。
    CDIR-C

    CyLR

    Live Response Collection

    View Slide

  13. 12
    データ取得に要した時間 (USBメモリ上で実行)
    • CDIR-C
    • クリックするだけで管理者権限で実行される
    • 処理画面は処理完了後に Enter を押下するまで残る
    • CyLR
    • 明示的に管理者権限で実行する必要がある
    • 処理画面は処理完了後に自動で閉じる
    • Live Response Collection (Triage mode)
    • クリックするだけで管理者権限で実行される
    • 処理画面は処理完了後に Enter を押下するまで残る
    5分で完了
    5~10分で完了
    10~20分で完了

    View Slide

  14. 13
    データ取得の合計サイズ
    • CDIR-C
    • ファイル数: 485、フォルダー数: 10
    • CyLR
    • ファイル数: 996、フォルダー数: 227
    • Live Response Collection
    • ファイル数: 508、フォルダー数: 41
    1.07 GB
    3.46 GB
    ( zip展開前: 368 MB )
    1.15 GB

    View Slide

  15. 14
    取得データ詳細: $UsnJrn
    • CDIR-C
    • 格納パス: ¥NTFS¥C_$UsnJrnl-$J
    • 取得サイズ: 38.4 MB (40,367,936 バイト)
    • CyLR
    • 格納パス: ¥C¥$Extend¥$UsnJrnl$J
    • 取得サイズ: 1.70 GB (1,827,424,904 バイト)
    • Live Response Collection
    • 格納パス: ¥LiveResponseData¥CopiedFiles¥usnjrnl¥$UsnJrnl_$J.bin
    • 取得サイズ: 38.7 MB (40,678,616 バイト)
    際立って
    ファイルサイズ
    が大きい

    View Slide

  16. 15
    取得データ詳細: USN Analytics でパース
    • CDIR-C
    • データ件数: 333178 records found
    • 処理時間: Processed Time: 13(s)
    • CyLR
    • データ件数: 335417 records found
    • 処理時間: Processed Time: 730(s)
    • Live Response Collection
    • データ件数: 335685 records found
    • 処理時間: Processed Time: 6(s)
    ※USN Analytics | Forensicist (https://www.kazamiya.net/usn_analytics)
    ※データ件数に若干差異があるのはツールを実行した順番が影響していると考えられるので差異なしとしています。
    格納データには
    差異なし

    View Slide

  17. 16
    取得データ詳細: レジストリ
    • CDIR-C
    • 1つのフォルダにすべて格納される
    • .LOG ファイルも取得される
    • CyLR
    • 1つのフォルダにすべて格納されない
    ※ディレクトリ構造を維持する仕様のため
    • .LOG ファイルも取得される
    • Live Response Collection
    • 1つのフォルダにすべて格納される
    • .LOG ファイルは取得されない
    図:CDIR で取得した結果

    View Slide

  18. 17
    取得データ詳細: Prefetch
    • CDIR-C
    • 格納パス: ¥Prefetch
    • 取得ファイル数: 264個
    • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持する
    • CyLR
    • 格納パス: ¥C¥WINDOWS¥Prefetch
    • 取得ファイル数: 271個
    • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持する
    • Live Response Collection
    • 格納パス: ¥LiveResponseData¥CopiedFiles¥prefetch
    • 取得ファイル数: 283個
    • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持しない

    View Slide

  19. 18
    取得データ詳細: Prefetch
    CDIR-C
    CyLR
    Live Response
    Collection

    View Slide

  20. 19
    取得データ詳細: Web Browser
    • CDIR-C
    • Chrome: history ファイルのみ
    • Firefox: cookies, history
    • IE/Edge: WebCache フォルダ配下すべてを取得
    • CyLR
    • Chrome: history ファイルのみ
    • Firefox: プロファイルフォルダ配下すべてを取得
    • IE/Edge: WebCache フォルダ配下すべてを取得
    • Live Response Collection
    • Chrome: cache, cookies, history
    • Firefox: cache, cookies, history, download
    • IE/Edge: 取得フォルダが空 ( WebCache が取得できなかった)
    ※Live Response Collection について、ログによると権限エラーによりファイルが取得できていないようでした。
    管理者権限で実行してはいたのですが、何度か試してもうまく取得できませんでした。

    View Slide

  21. 20
    まとめ

    View Slide

  22. 21
    比較結果: 感想
    • CDIR-C
    •一番簡単に使えて良さそう
    • CyLR
    •同じくらい良さそう
    • Live Response Collection
    •ちょっと心配

    View Slide

  23. 22
    比較結果: サマリ
    • CDIR-C
    • 主要なデータは取得できており、メモリダンプの取得も可能(ロスレスな圧縮形式)
    • 動作が軽く、実行時にも最低限の選択肢しかなく、人に依存しない均一な操作が期待できる
    • データの格納パスが浅く把握しやすいなど、全体的に扱いやすい印象
    • CyLR
    • 網羅的にデータを取得できるが、メモリダンプの取得は非対応
    • 明示的に管理者権限で実行する必要があるため、複数人が作業した場合に不安がある
    • ディレクトリ構造を維持してファイル取得している点は用途によってメリデメが分かれる印象
    • Live Response Collection (Triage mode)
    • .LOG が含まれない、prefetch のタイムスタンプを保持しないなど気になる点がある
    • 動作が比較的重い。またいくつかのファイル取得に失敗するなど動作に不安な面がある
    • 環境調査のためにいくつかのコマンド実行をしており、保全の観点で不安がある

    View Slide

  24. 23
    大事なこと
    • Windows を前提としたが、対象が Linux や Mac だと結果は当然変わり得る
    • 収集端末台数を1台としたが、複数(数十台)になると使い勝手は変わり得る
    • ネットワーク越しに取得するという方法については未検証
    • オプション利用やコンフィグの調整といったカスタマイズについても未検証
    • どんな後続作業を想定するかによってツールの評価・向き不向きは変わり得る
    目的や状況に応じてツールを選ぶことが肝要

    View Slide

  25. 24
    Thank you!

    View Slide