Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学習向けのフォレンジックデータ / Where can I get the images to...

Avatar for soji256 soji256
August 13, 2019
Technology
7
12k

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。

Avatar for soji256

soji256

August 13, 2019
Tweet

More Decks by soji256

See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
Avatar for soji256 soji256
6
9.1k

Other Decks in Technology

See All in Technology
クラウドとリアルの融合により、製造業はどう変わるのか?〜クラスメソッドの製造業への取組と共に〜
Avatar for 濱田孝治 hamadakoji
0
360
Okta Identity Governanceで実現する最小権限の原則 / Implementing the Principle of Least Privilege with Okta Identity Governance
Avatar for Tatsumi Nishikawa tatsumin39
0
160
GraphRAG グラフDBを使ったLLM生成(自作漫画DBを用いた具体例を用いて)
Avatar for sea-turt1e seaturt1e
1
110
Linux カーネルが支えるコンテナの仕組み / LF Japan Community Days 2025 Osaka
Avatar for tenforward tenforward
1
120
研究開発部メンバーの働き⽅ / Sansan R&D Profile
Avatar for Sansan, Inc. sansan33
PRO
3
20k
Dify on AWS 環境構築手順
Avatar for Hiroaki Yoshimura yosse95ai
0
110
Railsの話をしよう
Avatar for Yasuo Honda yahonda
0
170
ハノーファーメッセ2025で見た生成AI活用ユースケース.pdf
Avatar for 濱田孝治 hamadakoji
0
400
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
12
81k
JSConf JPのwebsiteをGatsbyからNext.jsに移行した話 - Next.jsの多言語静的サイトと課題
Avatar for Leko leko
2
180
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
Avatar for Kurochan kurochan
4
2.3k
まだ間に合う! 2025年のhono/ssg事情
Avatar for watany watany
2
260

Featured

See All Featured
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Side Projects
Avatar for Sacha Greif sachag
455
43k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
7k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
230
22k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.9k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
10
880
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
30
2.9k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.5k

Transcript

  1. 0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?

  2. 1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など

    • セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256

  3. 2 ふと...

  4. 3

  5. 4 たくさんの解析手法が 紹介されているけれど...

  6. 5 フォレンジックって どこで遊べばいいの?

  7. 6 Malware Analyst Pentester Forensicare ?

  8. 7 ? Malware Analyst Pentester Forensicare

  9. 8

  10. 9

  11. 10

  12. 11 さすがSANSさん 遊べるメモリイメージを配布して…

  13. 12 なかった

  14. 13 フォレンジックも 遊べる場所を見つけたい

  15. 14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード

  16. 15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”

    “Practice” “Training” “DFIR” ...

  17. 16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics

    Testing Images”

  18. 17

  19. 18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash

  20. 19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC

    • 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html

  21. 20 ENISA: Trainings for Cyber Security Specialists • Local Incident

    Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

  22. 21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •

    毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images

  23. 22 でも

  24. 23 英語か…… Photo by David Clarke on Unsplash

  25. 24 諦めるしかないのか...

  26. 25 ちょっとまってください

  27. 26 日本には 仙台が あるじゃないですか

  28. 27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  29. 28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

  30. 29 ? Malware Analyst Pentester Forensicare

  31. 30 Malware Analyst Pentester Forensicare

  32. 31 ちなみに...

  33. 32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない

    • 開催終了で入手困難になりがち https://defcon2019.ctfd.io

  34. 33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •

    ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも

  35. 34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads

  36. 35 データは無理でも 設問だけなら作れるのでは

  37. 36 おまけ: 楽しいかも

  38. 37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •

    学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです

  39. 38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp

  40. 39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •

    https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

  41. 40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing

    Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)