Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
学習向けのフォレンジックデータ / Where can I get the images to...
Search
soji256
August 13, 2019
Technology
7
12k
学習向けのフォレンジックデータ / Where can I get the images to learn DFIR
2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。
soji256
August 13, 2019
Tweet
Share
More Decks by soji256
See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
soji256
6
8.9k
Other Decks in Technology
See All in Technology
新規案件の立ち上げ専門チームから見たAI駆動開発の始め方
shuyakinjo
0
520
JuniorからSeniorまで: DevOpsエンジニアの成長ロードマップ
yuriemori
2
320
LLMエージェント時代に適応した開発フロー
hiragram
1
460
退屈なことはDevinにやらせよう〜〜Devin APIを使ったVisual Regression Testの自動追加〜
kawamataryo
4
910
Understanding Go GC #coefl_go_jp
bengo4com
1
1.1k
Grafana MCPサーバーによるAIエージェント経由でのGrafanaダッシュボード動的生成
hamadakoji
0
470
Grafana Meetup Japan Vol. 6
kaedemalu
1
120
TypeScript入門
recruitengineers
PRO
33
9.9k
浸透しなさいRFC 5322&7208
hinono
0
130
「守る」から「進化させる」セキュリティへ ~AWS re:Inforce 2025参加報告~ / AWS re:Inforce 2025 Participation Report
yuj1osm
1
170
生成AI時代に必要な価値ある意思決定を育てる「開発プロセス定義」を用いた中期戦略
kakehashi
PRO
1
190
自社製CMSからmicroCMSへのリプレースがプロダクトグロースを加速させた話
nextbeatdev
0
310
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
284
13k
Code Reviewing Like a Champion
maltzj
525
40k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.7k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
11
1k
GraphQLとの向き合い方2022年版
quramy
49
14k
Building Adaptive Systems
keathley
43
2.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Site-Speed That Sticks
csswizardry
10
800
Making Projects Easy
brettharned
117
6.3k
Designing for humans not robots
tammielis
253
25k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.9k
Transcript
0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?
1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など
• セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256
2 ふと...
3
4 たくさんの解析手法が 紹介されているけれど...
5 フォレンジックって どこで遊べばいいの?
6 Malware Analyst Pentester Forensicare ?
7 ? Malware Analyst Pentester Forensicare
8
9
10
11 さすがSANSさん 遊べるメモリイメージを配布して…
12 なかった
13 フォレンジックも 遊べる場所を見つけたい
14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード
15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”
“Practice” “Training” “DFIR” ...
16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics
Testing Images”
17
18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash
19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC
• 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html
20 ENISA: Trainings for Cyber Security Specialists • Local Incident
Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •
毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images
22 でも
23 英語か…… Photo by David Clarke on Unsplash
24 諦めるしかないのか...
25 ちょっとまってください
26 日本には 仙台が あるじゃないですか
27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
29 ? Malware Analyst Pentester Forensicare
30 Malware Analyst Pentester Forensicare
31 ちなみに...
32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない
• 開催終了で入手困難になりがち https://defcon2019.ctfd.io
33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •
ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも
34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads
35 データは無理でも 設問だけなら作れるのでは
36 おまけ: 楽しいかも
37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •
学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです
38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp
39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •
https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution
40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing
Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)
soji256
shuyakinjo
yuriemori
hiragram
kawamataryo
bengo4com
hamadakoji
kaedemalu
recruitengineers
hinono
yuj1osm
kakehashi
nextbeatdev
stephaniewalter
maltzj
mongodb
geoffreycrofte
tammyeverts
quramy
keathley
aki_iinuma
csswizardry
brettharned
tammielis
bluesmoon
