Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

soji256
August 13, 2019

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。

soji256

August 13, 2019
Tweet

More Decks by soji256

Other Decks in Technology

Transcript

  1. 0
    学習向けのフォレンジックデータ
    フォレンジックってどこで遊べますか?

    View full-size slide

  2. 1
    About Me
    • 名前 soji256 (読み soːdʑi)
    • お仕事など
    • セキュリティの世界に関わったのは2016年の後半から
    • 以前は主にシステム開発に関わる業務に従事していました
    • なお、フォレンジックは趣味
    • 楽しんだもの
    • 2017年 11月 Hardening 2017 Fes
    • 2018年 3月 SANS FOR508
    • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ
    • 2019年 3月 Black Hat Asia 2019
    • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定)
    @soji256

    View full-size slide

  3. 4
    たくさんの解析手法が
    紹介されているけれど...

    View full-size slide

  4. 5
    フォレンジックって
    どこで遊べばいいの?

    View full-size slide

  5. 6
    Malware Analyst
    Pentester
    Forensicare

    View full-size slide

  6. 7

    Malware Analyst
    Pentester
    Forensicare

    View full-size slide

  7. 11
    さすがSANSさん 遊べるメモリイメージを配布して…

    View full-size slide

  8. 12
    なかった

    View full-size slide

  9. 13
    フォレンジックも
    遊べる場所を見つけたい

    View full-size slide

  10. 14
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード

    View full-size slide

  11. 15
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード
    “Forensic” “Image”
    “Practice” “Training”
    “DFIR”
    ...

    View full-size slide

  12. 16
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード
    “Digital Forensics Testing Images”

    View full-size slide

  13. 18
    Find out!
    (やったぜ)
    Photo by Samuel Clara on Unsplash

    View full-size slide

  14. 19
    NIST: The CFReDS Project
    • Hacking Case
    • ハッキングに利用された疑いのあるノートPC
    • 無料の公衆WiFiの通信を傍受
    • クレジットカード番号やクレデンシャル情報を
    不正に入手していた疑いがある
    • 備考:
    • 解析をして31の質問に答えていく
    • ダウンロードサイズ: 1.2GB
    • 最終更新日: 2018年8月16日
    https://www.cfreds.nist.gov/Hacking_Case.html

    View full-size slide

  15. 20
    ENISA: Trainings for Cyber Security Specialists
    • Local Incident Response
    • 機密情報がWebサービスで公開された
    • ある従業員の端末がこれに関連
    • CSIRTとしてインシデント対応と調査を担当
    • 備考:
    • 素敵なハンドブックが付随
    • ハンドブックに沿ってイメージデータを
    解析していく
    • ダウンロードサイズ: 6.8GB
    • 最終更新日: 2016年12月
    https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

    View full-size slide

  16. 21
    DFIR Training: Test Images and Challenges
    • フォレンジック向けのイメージデータ集(RSS付き)
    • 毎月なんらかデータが追加されている様子
    https://dfir.training/resources/downloads/ctf-forensic-test-images

    View full-size slide

  17. 23
    英語か……
    Photo by David Clarke on Unsplash

    View full-size slide

  18. 24
    諦めるしかないのか...

    View full-size slide

  19. 25
    ちょっとまってください

    View full-size slide

  20. 26
    日本には
    仙台が
    あるじゃないですか

    View full-size slide

  21. 27
    仙台CTF 2017
    • 情報セキュリティ技術のスキルアップ・イベント
    • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開
    http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

    View full-size slide

  22. 28
    仙台CTF 2017
    • 情報セキュリティ技術のスキルアップ・イベント
    • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開
    http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

    View full-size slide

  23. 29

    Malware Analyst
    Pentester
    Forensicare

    View full-size slide

  24. 30
    Malware Analyst
    Pentester
    Forensicare

    View full-size slide

  25. 31
    ちなみに...

    View full-size slide

  26. 32
    CTF も楽しいです
    • DFIR特化のCTFもある
    • Forensics というジャンル
    • ディスクイメージ提供は多くない
    • 開催終了で入手困難になりがち
    https://defcon2019.ctfd.io

    View full-size slide

  27. 33
    補足: 公開されているイメージデータが少ない理由
    • 法的リスクから再配布が難しいデータが含まれがち
    • 特にディスクイメージはOSそのものの再配布になりかねない
    • 解析対象のデータサイズが大きくなりがち
    • ディスクもメモリともに圧縮しても数GB程度は下らない
    • 解析に耐えうるデータの生成が難しい
    • インシデント発生を模したデータを作るのは重労働
    • 需要と供給
    • あまり必要とされていないのかも

    View full-size slide

  28. 34
    おまけ: こんな感じの出題形式がありました
    https://cci.calpoly.edu/2019-digital-forensics-downloads

    View full-size slide

  29. 35
    データは無理でも
    設問だけなら作れるのでは

    View full-size slide

  30. 36
    おまけ: 楽しいかも

    View full-size slide

  31. 37
    まとめ
    • フォレンジックってどこで遊べばいいの?
    • “Digital Forensics Testing Images”
    • 学習向けフォレンジックデータはここにある
    • DEFCON DFIR CTF もある
    • 解析して設問を作るのも楽しいかも
    • GoogleDocs の入力規則を活用したヒント表示
    他に「こんなのあるよ」など教えてもらえると嬉しいです

    View full-size slide

  32. 38
    Thank you! Questions?
    @soji256
    https://medium.com/@soji256
    https://soji256.hatenablog.jp

    View full-size slide

  33. 39
    参考文献(1/2)
    <フォレンジック向け>
    • The CFReDS Project: Hacking Case
    • https://www.cfreds.nist.gov/Hacking_Case.html
    • Technical — ENISA: Forensic analysis: Local Incident Response
    • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
    • Test Images and Challenges
    • https://dfir.training/resources/downloads/ctf-forensic-test-images
    • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo
    • https://cci.calpoly.edu/2019-digital-forensics-downloads
    • Digital Corpora
    • https://digitalcorpora.org
    • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017
    • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
    • Defcon DFIR CTF 2019
    • https://defcon2019.ctfd.io
    • SANSからの練習問題を試す プロセスの確認 - @port139 Blog
    • http://port139.hatenablog.com/entry/2014/02/23/214759
    • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution
    • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

    View full-size slide

  34. 40
    参考文献(2/2)
    <ペネトレ向け>
    • Hack The Box :: Penetration Testing Labs
    • https://www.hackthebox.eu
    • Vulnerable By Design ~ VulnHub
    • https://www.vulnhub.com
    <マルウェア解析向け>
    • Malware-Traffic-Analysis.net
    • https://www.malware-traffic-analysis[.]net
    • VirusTotal
    • https://www.virustotal.com
    • ANY.RUN - Interactive Online Malware Sandbox
    • https://any.run
    発表会 : DFIR LT大会
    発表者 : soji256
    発表日 : 2019/08/13
    公開日 : 2019/08/15
    版数 : 1.0 (初版)

    View full-size slide