setodaNote

忘れる用のメモ書き for Cybersecurity

DFIR や Malware 解析などについての記事まとめ(2019年10月~2019月12月)

2019年10月~2019年12月にツイートしたりリツイートしたツイートからまとめています。

DFIR関連

架空のシナリオに基づくフォレンジックCTF

他にもいくつかシナリオがあるようです。ページ下部にはストーリ仕立ての解説記事もありました。

macOS上に現存するappの痕跡?-appList.datについて

Emotet に関する感染の様子(タイムライン)

Word Doc -> Emotet -> Trickbot -> Cobaltstrike -> Bloodhound -> Powershell Empire と感染していく様子をタイムラインで紹介している記事。実時間の記載があるのユニーク。

これなしでは生きていけない10の無料フォレンジックツール

フォレンジックアーティファクト収集ツール - Speaker Deck

MAIR忍者チャレンジで LT させていただいた発表資料です。

Malware解析関連

Predator the thief についての詳細解析記事

単純に私がこのブログのファンなだけなのですが、この方のマルウェア解析記事ほど魅力的な解析記事はない気がしています。

Azorult の解析記事

不審ファイルを受け取ったところから検体解析について順を追って説明してくれているので、読んでいて楽しい。

Emotet に関する詳細な調査報告レポート

使用しているテクニックやC2通信の構造など幅広く書かれている。少し長いけれど図が多めで読みやすい。

自己完結型フィッシングページ(Self-Contained Phishing Page)の解析記事

難読化された JavaScript を紐解いて通信先を得るところまでを、ステップを追いながら紹介している。

二重底のような zip が攻撃に使われたそうです

アーカイバによって展開失敗、無害なファイルのみ展開、悪意のあるファイル(NanoCore RAT)のみ展開といった差が生じるとのこと。

Palo Alto のブログで紹介されていた Powershell の静的解析スクリプト

難読化の解除やリスクレベルの推定などが可能。試してみたらマルウェアファミリの推定まで得られてちょっと楽しい。

Here Be Dragons: Reverse Engineering with Ghidra - Part 1

Ghidraを用いたリバースエンジニアリングの入門記事。

ANY.RUN の2019年の年間統計

FLARE VM 構築メモ

自動化の仕組みが面白かったです。

OSINT関連

映画で楽しむ OSINT な休日

Searching (2018) はすべてのシーンがPC画面の中で進むという画的な斬新さでも話題になった映画です。割と好きでした。

CVE 情報などを簡単に検索・関連付け表示できる Chrome 拡張機能 ThreatPinch Lookup

使ってみると楽しいです。

Network Entity Reputation Database (NERD) という悪性な挙動をした IPアドレス DB の WebUI

ホスト名の末尾、国コードなどでも検索できる。結果には直近での悪性な振る舞い一覧も含む。Shodan など他サイトへのクエリリンクもあって楽しそう。

Twitter IOC Hunter

Twitter に流れているハッシュ値、URL、メールアドレス、ドメインなどをスクレイピングしてダッシュボードで見せてくれるサイトらしい。各種検索も可能。見た目が綺麗で楽しそう。

APT グループを調べるときに便利なサイトまとめ

忘れていたり初めて耳にしたりする APT グループや利用マルウェアについてその概要をさくっと知りたいときに便利なサイトをまとめました。

サイバー脅威情報集約システム EXIST

NICTER解析チームが開発したEXIST+MISP環境を構築する手順を投稿しました。合わせてこれらを自動的に構築するスクリプトも公開しています。 また、EXIST を使った情報収集方法についてもまとめています。導入は比較的簡単なのですが、活用は特にTwitter周りの挙動にクセがあり、その設定方法などをまとめました。

EXIST 構築するよ!! - YouTube

EXIST の構築手順を動画にしてみました。準備編と構築編に分かれています。

  • 準備編

 

  • 構築編

その他

バリーくんのぬいぐるみ

この愛情こもった制作秘話を読んだらもう。ここに至るまでのこだわりと修正、それに応える製作者の経緯が書かれていて面白い。

CTFことはじめ

pwn の説明がこのくらいならできそうと思わせてくれる感じがしてとても好き。

Ho Ho Ho. / 2019 SANS Holiday Hack Challenge

ビギナー向けのバイナリ解析問題とのこと

FlareVMを使って解くのも楽しいよとあるので、導入後に練習で解いてみるのも良いかも。

Windows の Account Logon Flow

Windows でログインした際の処理の流れ。

POSIX はあるけど Linux, OpenBSD, FreeBSD でファイルの Timestamp 処理実装は異なる

最後の各OSの処理をまとめた図がとても綺麗でそれだけ見て満足してしまいそうな記事。

Kaspersky が提供するスレットハンティングサービスの統計レポート

平均対処時間や検知ソースの割合、検知した際の攻撃ステージ区分などがグラフとともに報告されています。読んでいて楽しい。

UserAgentからOS/ブラウザなどの調べかたのまとめ

PacketProxyを触ってみました

付録

過去記事

soji256.hatenablog.jp

更新履歴

  • 2020/01/16 新規作成