2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。
0学習向けのフォレンジックデータフォレンジックってどこで遊べますか?
View Slide
1About Me• 名前 soji256 (読み soːdʑi)• お仕事など• セキュリティの世界に関わったのは2016年の後半から• 以前は主にシステム開発に関わる業務に従事していました• なお、フォレンジックは趣味• 楽しんだもの• 2017年 11月 Hardening 2017 Fes• 2018年 3月 SANS FOR508• 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ• 2019年 3月 Black Hat Asia 2019• 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定)@soji256
2ふと...
3
4たくさんの解析手法が紹介されているけれど...
5フォレンジックってどこで遊べばいいの?
6Malware AnalystPentesterForensicare?
7?Malware AnalystPentesterForensicare
8
9
10
11さすがSANSさん 遊べるメモリイメージを配布して…
12なかった
13フォレンジックも遊べる場所を見つけたい
14フォレンジックで遊べる場所を考える• トレーニングやハンズオン勉強会• 気軽に楽しめる仮想インシデントのデータがほしい• 情報化社会の世界で必要なのは適切な検索ワード
15フォレンジックで遊べる場所を考える• トレーニングやハンズオン勉強会• 気軽に楽しめる仮想インシデントのデータがほしい• 情報化社会の世界で必要なのは適切な検索ワード“Forensic” “Image”“Practice” “Training”“DFIR”...
16フォレンジックで遊べる場所を考える• トレーニングやハンズオン勉強会• 気軽に楽しめる仮想インシデントのデータがほしい• 情報化社会の世界で必要なのは適切な検索ワード“Digital Forensics Testing Images”
17
18Find out!(やったぜ)Photo by Samuel Clara on Unsplash
19NIST: The CFReDS Project• Hacking Case• ハッキングに利用された疑いのあるノートPC• 無料の公衆WiFiの通信を傍受• クレジットカード番号やクレデンシャル情報を不正に入手していた疑いがある• 備考:• 解析をして31の質問に答えていく• ダウンロードサイズ: 1.2GB• 最終更新日: 2018年8月16日https://www.cfreds.nist.gov/Hacking_Case.html
20ENISA: Trainings for Cyber Security Specialists• Local Incident Response• 機密情報がWebサービスで公開された• ある従業員の端末がこれに関連• CSIRTとしてインシデント対応と調査を担当• 備考:• 素敵なハンドブックが付随• ハンドブックに沿ってイメージデータを解析していく• ダウンロードサイズ: 6.8GB• 最終更新日: 2016年12月https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
21DFIR Training: Test Images and Challenges• フォレンジック向けのイメージデータ集(RSS付き)• 毎月なんらかデータが追加されている様子https://dfir.training/resources/downloads/ctf-forensic-test-images
22でも
23英語か……Photo by David Clarke on Unsplash
24諦めるしかないのか...
25ちょっとまってください
26日本には仙台があるじゃないですか
27仙台CTF 2017• 情報セキュリティ技術のスキルアップ・イベント• 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
28仙台CTF 2017• 情報セキュリティ技術のスキルアップ・イベント• 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
29?Malware AnalystPentesterForensicare
30Malware AnalystPentesterForensicare
31ちなみに...
32CTF も楽しいです• DFIR特化のCTFもある• Forensics というジャンル• ディスクイメージ提供は多くない• 開催終了で入手困難になりがちhttps://defcon2019.ctfd.io
33補足: 公開されているイメージデータが少ない理由• 法的リスクから再配布が難しいデータが含まれがち• 特にディスクイメージはOSそのものの再配布になりかねない• 解析対象のデータサイズが大きくなりがち• ディスクもメモリともに圧縮しても数GB程度は下らない• 解析に耐えうるデータの生成が難しい• インシデント発生を模したデータを作るのは重労働• 需要と供給• あまり必要とされていないのかも
34おまけ: こんな感じの出題形式がありましたhttps://cci.calpoly.edu/2019-digital-forensics-downloads
35データは無理でも設問だけなら作れるのでは
36おまけ: 楽しいかも
37まとめ• フォレンジックってどこで遊べばいいの?• “Digital Forensics Testing Images”• 学習向けフォレンジックデータはここにある• DEFCON DFIR CTF もある• 解析して設問を作るのも楽しいかも• GoogleDocs の入力規則を活用したヒント表示他に「こんなのあるよ」など教えてもらえると嬉しいです
38Thank you! Questions?@soji256https://medium.com/@soji256https://soji256.hatenablog.jp
39参考文献(1/2)<フォレンジック向け>• The CFReDS Project: Hacking Case• https://www.cfreds.nist.gov/Hacking_Case.html• Technical — ENISA: Forensic analysis: Local Incident Response• https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational• Test Images and Challenges• https://dfir.training/resources/downloads/ctf-forensic-test-images• 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo• https://cci.calpoly.edu/2019-digital-forensics-downloads• Digital Corpora• https://digitalcorpora.org• 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017• http://sectanlab.sakura.ne.jp/sendaictf/fyi.html• Defcon DFIR CTF 2019• https://defcon2019.ctfd.io• SANSからの練習問題を試す プロセスの確認 - @port139 Blog• http://port139.hatenablog.com/entry/2014/02/23/214759• SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution• https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution
40参考文献(2/2)<ペネトレ向け>• Hack The Box :: Penetration Testing Labs• https://www.hackthebox.eu• Vulnerable By Design ~ VulnHub• https://www.vulnhub.com<マルウェア解析向け>• Malware-Traffic-Analysis.net• https://www.malware-traffic-analysis[.]net• VirusTotal• https://www.virustotal.com• ANY.RUN - Interactive Online Malware Sandbox• https://any.run発表会 : DFIR LT大会発表者 : soji256発表日 : 2019/08/13公開日 : 2019/08/15版数 : 1.0 (初版)