SIFT Ver3.0のSoftware Includeで他に気になる点として、ライブラリ関連を確認しておきたいと思います。SANS Blogに記載があるライブラリ関連は下記になっています。 libbde https://code.google.com/p/libbde/ Library and tools to access the BitLocker D…

今週末はちょっとドタバタしていた影響で、なかなか読書が進みませんでした。先日から図書館で借りてきているブラックスワンを読み進めていますが、上・下とあるうちまだ上を読み返したりしています。*1 ブラック・スワン[上]―不確実性とリスクの本質 作者: …

これも一般論としてという前提になります。 物理的なディスク単位でコピーするのではなく、ディスク内の一部ファイルだけをコピーする作業とハッシュ値を計算する事について考えてみます。 まず、対象ディスクが取り外しされている様なケースでは、以下の作…

Twitter での流れから、物理複製時のハッシュ計算について少し整理してみたいと思います。注意点ですが、下記は特定製品やツールについて言及しているわけではなく、こういった機能を持っている装置なりが存在するか確認せずに書いています。あくまで一般論…

昨日に引き続き、SIFT 3.0 に含まれるツールの Rekall Memory Forensic Framework についても確認したいと思います。*1 The Rekall Memory Forensics Framework https://code.google.com/p/rekall/ Webを見ると2013/12/22に正式に立ち上がったプロジェクトと…

SIFT 3.0 に含まれているツールを少し確認しておきたいと思います。以前、話題になった事がある MantaRay(ManTech Triage & Analysis System) が含まれているのは特に興味が引かれる部分ではないでしょうか。 MantaRay Forensics | ManTech Triage & Analysi…

SANS から SIFT 最新版 Ver 3.0 がリリースされていますね。 SANS SIFT Kit/Workstation: Investigative Forensic Toolkit Download Key new features of SIFT 3.0 include: Ubuntu LTS 12.04 Base 64 bit base system Better memory utilization Auto-DFIR …

APT.IMG でまだ確認してない点としてレジストリ情報があります。 Volatility にはレジストリ関連のプラグインがありますので、それらの結果を確認しておきたいと思います。 まず、hivelist プラグインを使い、メモリ上での配置状況を確認してみます。 Virtua…

ディスク上にある notepad.exe の先頭 4096byte と、メモリイメージからカービングした notepad.exe の先頭 4096byte を比較すると、Image Baseの値が異なっている事から MD5 ハッシュ値では一致しない事が確認できました。（実際には、先頭から 1024byte 範…

以前に「まぐれ」を読んだことがあったので、図書館でナシーム・ニコラス・タレブ氏の著書「ブラック・スワン」を借りてきました。 ブラック・スワン[上]―不確実性とリスクの本質 作者: ナシーム・ニコラス・タレブ,望月衛 出版社/メーカー: ダイヤモンド社 …

借りていた本を返却したついでに、新たに何冊か図書館で本を借りてきました、とりあえず「トヨタ経営大全2企業文化 上 」と他にブラックスワンなどを借りてきてますが、新書コーナーにあった下記を午後から読んでいました。 トヨタ式「スピード問題解決」 (P…

Procexedump プラグインで取り出した EXE ファイルを PeStudio で更に確認してみたいと思います。 PEヘッダのFile HeaderにはTimeDateStamp値があり日付情報が含まれています、この値まで含めた正規表現パターンを作成して APT.IMG に検索してみます。 \x4D\…

メモリイメージの中から実行ファイルの取り出しを行う方法として、古典的な手法はファイルのシグネチャを指定してパターンで切り出す方法があります。代表的なツールとしては、Foremost や Scalpel を使い、EXEファイルのヘッダパターンを使う方法があります…

bulk_extractor が検出した winpe.txt ファイル内の情報にはハッシュ値が含まれています。マニュアルによると、このハッシュ値は 4096byte 分だけで計算されているという事です。 実験として、EXEファイルのシグネチャをベースに、ヒットした位置から 4096バ…

Volatiliry 以外のツールを使って、APT.IMG のメモリイメージ内からファイルの取り出しについても考えていきたいと思います。 カービングする方法もありますが、まずは bulk_extractor を使ってみたいと思いますので、ここでは Windows 版の bulk_extractor …

先日、Mandiant Redline のバージョン 1.11.1 がリリースされたというアナウンスメールが届きましたので、早速気になっていた点を試してみました。 https://www.mandiant.com/resources/download/redline SANS の APT.IMG を最新版の1.11.1 で解析した結果が…

先日から GIAC の試験勉強に SANS Blog の内容をベースにメモリイメージの中身を見ているわけですが、自分が十分理解できておらず、後回しになっている項目が幾つか出てきています。 やはり最大のネック？は「メモリの使われ方・構造」という辺りだと考えて…

先日、Q2 まで待つことが出来ず Kindle Paperwhite を購入したんですが、その数日後からクーポン付きのキャンペーン開始されてますね。3月14日～3月20日までクーポンが付くということで、あと数日待っていれば良かったんでしょうけど、まぁだいたいそんなも…

やや脱線する事になりますが、Volatility にはメモリイメージからファイルを取り出すプラグインとして、dumpfiles プラグインもあります。 このプラグインを使うことで、メモリ上にキャッシュされているファイルのデータを取り出す事ができるようですので、…

メモリイメージからのプロセス関連データの取り出しですが、具体的に何が含まれているのかをもう少し確認してみたいと思います。 まず、memdump コマンドを使い PID 769 iexplore.exe をダンプしてみます。出力ファイルは 796.dmp となり、ファイルサイズは …

APT.IMG のメモリイメージから各種データの取り出しをVolatilityを使って行ってみたいと思います。 なお、メモリイメージからマルウェア関連のデータを取り出すと、ウイルス対策ソフトが自動的にそれを削除してしまうケースがあります。取り出し作業を実施し…

SANS Blogの解説ではファイルの取りだしについては言及されていませんが、APT.IMGからファイルを取り出して調査する方法について確認したいと思います。 まず、RedLineでのファイルの取り出しについて確認してみます。RedLineのデフォルトでは、オプション設…

RedLineを中心にRootkit対応の手順を確認してきましたが、Volatilityにはマルウェアの調査を意図したプラグインが各種提供されています。 マルウェア関連のプラグインは、Wiki に整理されていますので、そちらを参照してみてください。*1 CommandReferenceMa…

この週末は、先週図書館で借りてきた人材開発 上を引き続き読んでいました。まずは全体を把握したかったので流し読みという感じでした。テーマがテーマだけに理解していくには何度も読み直す必要がありそうですが、Kindle 版ないんですよねぇ。 トヨタ経営大…

先日、SANS FOR508 コースを受講したので、GIAC の Forensic Analyst Certification: GCFA を受けようかと考えています。 コース受講前は、試験が英語ってこともあり、その気が全然なかったのですが、実際に FOR508 を受講してみたところ、これは復習してし…

これまでの手順により、"irykmmww"という不審なファイル名と同じドライバがある事が確認できました。 不審なカーネルモードのドライバとくればやはりRootkitなどを疑う事になるかと思います。RedLineでは、Hooksという項目があり、こちらでRootkitがよく使う…

iexplore.exe と Explorer.EXE が外部へ通信していたことが確認できていますが、それぞれのプロセス情報に関連するデータがないかも念のため確認しておきたいと思います。 0x032c01f8 192.168.157.10:1053 218.85.133.23:89 796 0x0337dce0 192.168.157.10:1…

RedLineではオープン中ポートの確認は Ports から表示する事ができますので、APT.IMG の解析結果を確認してみます。 結果を確認してみると、リモートIPについては特に情報がなく、一見すると外部との接続は無いように見受けられます。 しかし、Volatility で…

irykmmww.d1l という不審なDLLファイルもどきを発見できましたが、このファイルが関連しているプロセスに何があるのかを確認してみたいと思います。RedLineではMemory Sectionsからキーワードとしてirykmmwwを指定すれば絞り込んで確認する事ができます。フ…

先日は手順を間違え、Handlesの確認から入った為にirykmmwwの検出方法に謎が発生してしまいました。DllListコマンドの結果またはRedLineのsectionsから irykmmww.d1l の存在を確認することが出来ました。 このファイルの拡張子は、数字の 1 が小文字で L の…