Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

学習向けのフォレンジックデータ / Where can I get the images to...

Avatar for soji256 soji256
August 13, 2019
Technology
7
13k

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。

Avatar for soji256

soji256

August 13, 2019
Tweet

More Decks by soji256

See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
Avatar for soji256 soji256
6
9.2k

Other Decks in Technology

See All in Technology
AI時代のワークフロー設計〜Durable Functions / Step Functions / Strands Agents を添えて〜
Avatar for やくも yakumo
3
1.4k
CARTAのAI CoE が挑む「事業を進化させる AI エンジニアリング」 / carta ai coe evolution business ai engineering
Avatar for CARTA Engineering carta_engineering
0
2.1k
30分であなたをOmniのファンにしてみせます~分析画面のクリック操作をそのままコード化できるAI-ReadyなBIツール~
Avatar for Sagara sagara
0
180
生成AI活用の型ハンズオン〜顧客課題起点で設計する7つのステップ
Avatar for Nakao Yushin yushin_n
0
260
年間40件以上の登壇を続けて見えた「本当の発信力」/ 20251213 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
140
子育てで想像してなかった「見えないダメージ」 / Unforeseen "hidden burdens" of raising children.
Avatar for Pauli pauli
2
300
Agent Skillsがハーネスの垣根を超える日
Avatar for Gota gotalab555
3
1.3k
AI-DLCを現場にインストールしてみた:プロトタイプ開発で分かったこと・やめたこと
Avatar for Recruit recruitengineers
PRO
2
190
Fashion×AI「似合う」を届けるためのWEARのAI戦略
Avatar for ZOZO Developers zozotech
PRO
2
1k
AIプラットフォームにおけるMLflowの利用について
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
180
打 造 A I 驅 動 的 G i t H u b ⾃ 動 化 ⼯ 作 流 程
Avatar for Bo-Yi Wu appleboy
0
370
初めてのDatabricks AI/BI Genie
Avatar for Takaaki Yayoi taka_aki
0
240

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Accessibility Awareness
Avatar for Sarah Abderemane sabderemane
0
16
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
1.7k
How to make the Groovebox
Avatar for あそなす asonas
2
1.8k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
0
270
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
30
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon szymonslowik
0
840
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k

Transcript

  1. 0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?

  2. 1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など

    • セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256

  3. 2 ふと...

  4. 3

  5. 4 たくさんの解析手法が 紹介されているけれど...

  6. 5 フォレンジックって どこで遊べばいいの?

  7. 6 Malware Analyst Pentester Forensicare ?

  8. 7 ? Malware Analyst Pentester Forensicare

  9. 8

  10. 9

  11. 10

  12. 11 さすがSANSさん 遊べるメモリイメージを配布して…

  13. 12 なかった

  14. 13 フォレンジックも 遊べる場所を見つけたい

  15. 14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード

  16. 15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”

    “Practice” “Training” “DFIR” ...

  17. 16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics

    Testing Images”

  18. 17

  19. 18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash

  20. 19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC

    • 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html

  21. 20 ENISA: Trainings for Cyber Security Specialists • Local Incident

    Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

  22. 21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •

    毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images

  23. 22 でも

  24. 23 英語か…… Photo by David Clarke on Unsplash

  25. 24 諦めるしかないのか...

  26. 25 ちょっとまってください

  27. 26 日本には 仙台が あるじゃないですか

  28. 27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  29. 28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  30. 29 ? Malware Analyst Pentester Forensicare

  31. 30 Malware Analyst Pentester Forensicare

  32. 31 ちなみに...

  33. 32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない

    • 開催終了で入手困難になりがち https://defcon2019.ctfd.io

  34. 33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •

    ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも

  35. 34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads

  36. 35 データは無理でも 設問だけなら作れるのでは

  37. 36 おまけ: 楽しいかも

  38. 37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •

    学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです

  39. 38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp

  40. 39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •

    https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

  41. 40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing

    Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)