Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

soji256
August 13, 2019

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR

2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。

soji256

August 13, 2019
Tweet

More Decks by soji256

Other Decks in Technology

Transcript

  1. 0
    学習向けのフォレンジックデータ
    フォレンジックってどこで遊べますか?

    View Slide

  2. 1
    About Me
    • 名前 soji256 (読み soːdʑi)
    • お仕事など
    • セキュリティの世界に関わったのは2016年の後半から
    • 以前は主にシステム開発に関わる業務に従事していました
    • なお、フォレンジックは趣味
    • 楽しんだもの
    • 2017年 11月 Hardening 2017 Fes
    • 2018年 3月 SANS FOR508
    • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ
    • 2019年 3月 Black Hat Asia 2019
    • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定)
    @soji256

    View Slide

  3. 2
    ふと...

    View Slide

  4. 3

    View Slide

  5. 4
    たくさんの解析手法が
    紹介されているけれど...

    View Slide

  6. 5
    フォレンジックって
    どこで遊べばいいの?

    View Slide

  7. 6
    Malware Analyst
    Pentester
    Forensicare

    View Slide

  8. 7

    Malware Analyst
    Pentester
    Forensicare

    View Slide

  9. 8

    View Slide

  10. 9

    View Slide

  11. 10

    View Slide

  12. 11
    さすがSANSさん 遊べるメモリイメージを配布して…

    View Slide

  13. 12
    なかった

    View Slide

  14. 13
    フォレンジックも
    遊べる場所を見つけたい

    View Slide

  15. 14
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード

    View Slide

  16. 15
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード
    “Forensic” “Image”
    “Practice” “Training”
    “DFIR”
    ...

    View Slide

  17. 16
    フォレンジックで遊べる場所を考える
    • トレーニングやハンズオン勉強会
    • 気軽に楽しめる仮想インシデントのデータがほしい
    • 情報化社会の世界で必要なのは適切な検索ワード
    “Digital Forensics Testing Images”

    View Slide

  18. 17

    View Slide

  19. 18
    Find out!
    (やったぜ)
    Photo by Samuel Clara on Unsplash

    View Slide

  20. 19
    NIST: The CFReDS Project
    • Hacking Case
    • ハッキングに利用された疑いのあるノートPC
    • 無料の公衆WiFiの通信を傍受
    • クレジットカード番号やクレデンシャル情報を
    不正に入手していた疑いがある
    • 備考:
    • 解析をして31の質問に答えていく
    • ダウンロードサイズ: 1.2GB
    • 最終更新日: 2018年8月16日
    https://www.cfreds.nist.gov/Hacking_Case.html

    View Slide

  21. 20
    ENISA: Trainings for Cyber Security Specialists
    • Local Incident Response
    • 機密情報がWebサービスで公開された
    • ある従業員の端末がこれに関連
    • CSIRTとしてインシデント対応と調査を担当
    • 備考:
    • 素敵なハンドブックが付随
    • ハンドブックに沿ってイメージデータを
    解析していく
    • ダウンロードサイズ: 6.8GB
    • 最終更新日: 2016年12月
    https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

    View Slide

  22. 21
    DFIR Training: Test Images and Challenges
    • フォレンジック向けのイメージデータ集(RSS付き)
    • 毎月なんらかデータが追加されている様子
    https://dfir.training/resources/downloads/ctf-forensic-test-images

    View Slide

  23. 22
    でも

    View Slide

  24. 23
    英語か……
    Photo by David Clarke on Unsplash

    View Slide

  25. 24
    諦めるしかないのか...

    View Slide

  26. 25
    ちょっとまってください

    View Slide

  27. 26
    日本には
    仙台が
    あるじゃないですか

    View Slide

  28. 27
    仙台CTF 2017
    • 情報セキュリティ技術のスキルアップ・イベント
    • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開
    http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

    View Slide

  29. 28
    仙台CTF 2017
    • 情報セキュリティ技術のスキルアップ・イベント
    • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開
    http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

    View Slide

  30. 29

    Malware Analyst
    Pentester
    Forensicare

    View Slide

  31. 30
    Malware Analyst
    Pentester
    Forensicare

    View Slide

  32. 31
    ちなみに...

    View Slide

  33. 32
    CTF も楽しいです
    • DFIR特化のCTFもある
    • Forensics というジャンル
    • ディスクイメージ提供は多くない
    • 開催終了で入手困難になりがち
    https://defcon2019.ctfd.io

    View Slide

  34. 33
    補足: 公開されているイメージデータが少ない理由
    • 法的リスクから再配布が難しいデータが含まれがち
    • 特にディスクイメージはOSそのものの再配布になりかねない
    • 解析対象のデータサイズが大きくなりがち
    • ディスクもメモリともに圧縮しても数GB程度は下らない
    • 解析に耐えうるデータの生成が難しい
    • インシデント発生を模したデータを作るのは重労働
    • 需要と供給
    • あまり必要とされていないのかも

    View Slide

  35. 34
    おまけ: こんな感じの出題形式がありました
    https://cci.calpoly.edu/2019-digital-forensics-downloads

    View Slide

  36. 35
    データは無理でも
    設問だけなら作れるのでは

    View Slide

  37. 36
    おまけ: 楽しいかも

    View Slide

  38. 37
    まとめ
    • フォレンジックってどこで遊べばいいの?
    • “Digital Forensics Testing Images”
    • 学習向けフォレンジックデータはここにある
    • DEFCON DFIR CTF もある
    • 解析して設問を作るのも楽しいかも
    • GoogleDocs の入力規則を活用したヒント表示
    他に「こんなのあるよ」など教えてもらえると嬉しいです

    View Slide

  39. 38
    Thank you! Questions?
    @soji256
    https://medium.com/@soji256
    https://soji256.hatenablog.jp

    View Slide

  40. 39
    参考文献(1/2)
    <フォレンジック向け>
    • The CFReDS Project: Hacking Case
    • https://www.cfreds.nist.gov/Hacking_Case.html
    • Technical — ENISA: Forensic analysis: Local Incident Response
    • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
    • Test Images and Challenges
    • https://dfir.training/resources/downloads/ctf-forensic-test-images
    • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo
    • https://cci.calpoly.edu/2019-digital-forensics-downloads
    • Digital Corpora
    • https://digitalcorpora.org
    • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017
    • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
    • Defcon DFIR CTF 2019
    • https://defcon2019.ctfd.io
    • SANSからの練習問題を試す プロセスの確認 - @port139 Blog
    • http://port139.hatenablog.com/entry/2014/02/23/214759
    • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution
    • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution

    View Slide

  41. 40
    参考文献(2/2)
    <ペネトレ向け>
    • Hack The Box :: Penetration Testing Labs
    • https://www.hackthebox.eu
    • Vulnerable By Design ~ VulnHub
    • https://www.vulnhub.com
    <マルウェア解析向け>
    • Malware-Traffic-Analysis.net
    • https://www.malware-traffic-analysis[.]net
    • VirusTotal
    • https://www.virustotal.com
    • ANY.RUN - Interactive Online Malware Sandbox
    • https://any.run
    発表会 : DFIR LT大会
    発表者 : soji256
    発表日 : 2019/08/13
    公開日 : 2019/08/15
    版数 : 1.0 (初版)

    View Slide