Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学習向けのフォレンジックデータ / Where can I get the images to...

soji256
August 13, 2019
Technology
6
11k

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。

soji256

August 13, 2019
Tweet

More Decks by soji256

See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
soji256
5
8.5k

Other Decks in Technology

See All in Technology
内製化を加速させるlaC活用術
nrinetcom
PRO
2
140
AIエージェント元年
shukob
0
150
Share my, our lessons from the road to re:Invent
naospon
0
140
わたしがEMとして入社した「最初の100日」の過ごし方 / EMConfJp2025
daiksy
14
4.8k
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
2
270
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
180
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
240
「正しく」失敗できる チームの作り方 〜リアルな事例から紐解く失敗を恐れない組織とは〜 / A team that can fail correctly
i35_267
4
850
いまからでも遅くない!コンテナでWebアプリを動かしてみよう!コンテナハンズオン編
nomu
0
150
組織におけるCCoEの役割とAWS活用事例
nrinetcom
PRO
4
120
MIMEと文字コードの闇
hirachan
2
1.4k
Snowflakeの開発・運用コストをApache Icebergで効率化しよう!~機能と活用例のご紹介~
sagara
1
420

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
For a Future-Friendly Web
brad_frost
176
9.6k
Adopting Sorbet at Scale
ufuk
74
9.2k
Designing for Performance
lara
604
68k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Side Projects
sachag
452
42k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
570
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The Cult of Friendly URLs
andyhume
78
6.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k

Transcript

  1. 0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?

  2. 1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など

    • セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256

  3. 2 ふと...

  4. 3

  5. 4 たくさんの解析手法が 紹介されているけれど...

  6. 5 フォレンジックって どこで遊べばいいの?

  7. 6 Malware Analyst Pentester Forensicare ?

  8. 7 ? Malware Analyst Pentester Forensicare

  9. 8

  10. 9

  11. 10

  12. 11 さすがSANSさん 遊べるメモリイメージを配布して…

  13. 12 なかった

  14. 13 フォレンジックも 遊べる場所を見つけたい

  15. 14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード

  16. 15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”

    “Practice” “Training” “DFIR” ...

  17. 16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics

    Testing Images”

  18. 17

  19. 18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash

  20. 19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC

    • 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html

  21. 20 ENISA: Trainings for Cyber Security Specialists • Local Incident

    Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

  22. 21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •

    毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images

  23. 22 でも

  24. 23 英語か…… Photo by David Clarke on Unsplash

  25. 24 諦めるしかないのか...

  26. 25 ちょっとまってください

  27. 26 日本には 仙台が あるじゃないですか

  28. 27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  29. 28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  30. 29 ? Malware Analyst Pentester Forensicare

  31. 30 Malware Analyst Pentester Forensicare

  32. 31 ちなみに...

  33. 32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない

    • 開催終了で入手困難になりがち https://defcon2019.ctfd.io

  34. 33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •

    ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも

  35. 34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads

  36. 35 データは無理でも 設問だけなら作れるのでは

  37. 36 おまけ: 楽しいかも

  38. 37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •

    学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです

  39. 38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp

  40. 39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •

    https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

  41. 40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing

    Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)