8/31 に paloalto Unit 42 から下記レポートが出ています。 researchcenter.paloaltonetworks.com 自動起動の手口として、タスクスケジューラが利用されています。 オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。 タ…

8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。 blog.fortinet.com 自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば…

トレンドマイクロ社からのレポートが更新され、ファイルレス型の攻撃において、USB メモリ経由である事がアップデートとして報告されている。 blog.trendmicro.com 上記レポートでは、幾つかのマルウェアが登場しているが、自動起動について確認。 TROJ_ANDR…

下記レポート『New Pacifier APT Components Point to Russian-Linked Turla Group』では、マルウェアを起動する為の自動起動の手口として 6 種類が報告されている。 幾つかは Windows XP を対象とした古い手法のようだが、自動起動を確認するツールとして、…

ディレクトリエントリの痕跡からファイル復元 VHDディスク上に FAT32 でボリュームを作成。ボリュームサイズは 100MB。 JPEG画像ファイル（犬の画像）を FAT32 ボリューム上の Pictures フォルダに置きます。 FAT32ボリュームを「クイック」フォーマット。 …

9002 RAT についての記事、persistence の仕組みとしては LNK ファイルを利用。 www.proofpoint.com スタートアップに UpdateCheck.lnk を作成、中身としては Powrshell を利用する仕組みとなっているようです。 プロパティを確認 バイナリを確認 スタートア…

FireEye社から APT 28に関するレポート「APT28 Targets Hospitality Sector, Presents Threat to Travelers」が出ており、下記で日本語に翻訳された関連記事も読めます。ただ、横展開に関する手法や Responder の仕組みについて扱われていますが、マルウェア…

Web アクティビティ（Chrome） セキュリティキャンプ 2017の E4 トラック事前学習で作成した Chrome01_RAW.001 を Autopsy のタイムライン機能で確認。 実際に操作した内容は下記。 Googleで「セキュリティキャンプ」を検索 セキュリティキャンプのWebを参照…

画像ファイルの EXIF 情報 タイムライン機能には、Exif 情報を利用する事もできる。インジェストモジュールとしては「Exif パーサ」を実行。 インジェストモジュールの実行結果は、「抽出されたコンテンツ」⇒「EXIFメタデータ」で確認ができる。テストデータ…

コンテナファイルの扱い ZIP や RAR ファイルのコンテナ内に存在するファイルのタイムスタンプ情報のタイムラインでの取り扱いについて。 『埋め込みファイルの抽出ツール』モジュールを実行している場合、ZIP や RAR ファイルなどについては、下記図のよう…

Autopsy のタイムライン機能 Timeline http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/timeline_page.html サンプルのイメージファイルとしては、マイクロソフト社が提供している仮想マシンのイメージを利用しています。ブラウザの履歴なども確認してい…

埋め込みオブジェクトが含まれる文書 Autopsy のキーワード検索において、文書内にオブジェクトが埋め込まれている場合にどの様な扱いになるかを確認。 サンプルデータとして、Word文書（DOCX形式）内に、動画ファイル（MOV）、JPEGファイル（2件のうち1件は…

Autopsy 4.4.1 のベータ機能テスト Autopsy には事前に定義した「疑わしいファイル」を探すモジュールがあり、オプションメニューからルールセットの作成ができる。 Interesting Files Identifier Modulehttp://sleuthkit.org/autopsy/docs/user-docs/4.4.1/…

リリースノートを参照 バージョン 4.4.1 の変更点は下記に記載されています。幾つか新たな機能追加があります。https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.4.1 Beta version of new central repository feature has been added for corre…

Autopsy のキーワード検索で、Stem を利用した検索が可能かを確認。 サンプルデータは Content-Encoding: windows-1252 として認識されているテキスト ファイル。また、サンプル文字列として、solr.PorterStemFilterFactory で例示されている文字列パターン…

Autopsy には「ストリング」と「インデクス化されたテキスト」と二つのタブが存在する。PDF や DOCX ファイルなどの場合、ストリングとインデックス化されたテキストではそれぞれ異なるテキストデータが表示される。 下記画像では、PDFファイルを処理した後…

メールアドレスやドメイン名の区切り方 AutopsyのSolr用スキーマファイル schema.xml には、solr.StandardTokenizerFactory が定義されており、Apache Solr の Standard Tokenizer の動作については、下記ページを参照することで内容を確認できる。 https://…

パスワードが設定されているDOCXファイルのメタ情報 文書ファイル（DOCX）にパスワードが設定されている場合に、Autopsy の「キーワード検索」でファイルのテキストがどの様に処理されているか。 パスワードを設定したDOCXファイルを処理した後、「インデッ…

Autopsy はキーワード検索用のテキストファイルの抽出に、Apache Tika を利用しているが、ファイル形式により抽出されるメタ情報が異なる。 Office 形式ファイルのメタデータに関する情報は下記 URL に取得項目について記載がある。 Interface MSOffice http…

そもそも資格必要なの？という点は素朴な疑問としてあるのですが、資格取るなら何が良いのでしょうかね？ デジタル・フォレンジック関連の資格・試験には様々なものがあるようです。コンピュータ・フォレンジックという観点では、下記記事では 6種類ほど比較…

スキルマップなどを眺めていると、フォレンジッカーって何するの？という疑問が出てきます。 NICCS：Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital ForensicsのTasksに記載されている項目を参照すると、色々と興味深い項目が多くあ…

NICCSのDigital ForensicsにおけるKSA（Knowledge, Skills, and Abilities）では、ナレッジとして約30個の項目が列挙されています。 ABC順に並んでいるようで、最初に出てくるのが「Knowledge of anti-forensics tactics, techniques, and procedures」とア…

日本国内においても、デジタル・フォレンジック（以降DFと省略）の人材育成に関するスキルセットとして幾つか資料が出てきています。しかし、それらを比較してみると、求められている内容にはかなり違いがあるようです。 (1) 産業横断サイバーセキュリティ人…

先日、FaceBookのタイムラインに下記記事が流れてきて、興味深く読ませていただきました。（元の論文までは読んでないのですが） 自分自身、講師を担当している時に「何か質問はありますか？」という事を言ってしまいますが、受講者が質問をどう考え・受け取…

Plaso 1.4.0 ベースの Log2timeline の winjob パーサですが、タイムゾーンの指定を正しく行わない場合、ジョブのスケジュールと実行日時が実際の時刻より +9 時間ズレて表示されます。 以下、Windows 10 環境上で、Plaso 1.4 ベースを実行しています。 log2…

Plaso 1.4.0 ベースの Log2timeline ですが、Windows 7 環境上で実行すると、ファイルのタイムスタンプ情報が数秒ズレるという事象に悩んでいます。 具体的にはWindows 7 64bit環境で 32bit版の Plaso 1.4 を使い、filestat パーサでタイムスタンを作成した…

デジタル・データの（正しい）コピー手順とキーポイントを考える際に、過去の失敗から何か学ぶ事ができるのか？と思い整理してみています。 小ネタとしてお話するには良いかもしれませんが、こういった事に注意してください！！と手順書に書いたところで意味…

皆さんの組織では、マルウェア感染したWindows PCが（組織内の）何処と通信したか？、を追跡できるログを取っていますでしょうか？ 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねｗ」と Haruyama さんから突っ込みを…

皆さん、プログラムの実行履歴って取られてますか？ Windows が標準で搭載している監査機能を利用すると、プログラムの実行をセキュリティログに残す事ができます。 具体的にはローカルセキュリティポリシーなどで、「プロセス作成の監査」を有効にすればイ…

マルウェアへの感染が発覚した場合、該当端末を一時的にネットワークから隔離し、その後、より詳細に調査を行うという手順が一般的に取られるかと思います。 明確な対応手順が決まってない組織では、ネットワークからの隔離後に色々と操作をしてしまい、せっ…