setodaNote

忘れる用のメモ書き

ページファイル(pagefile.sys) の解析

pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…

インシデントレスポンス初動対応時のデータ収集ツール

データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまと…

仙台CTF2017のセキュリティ技術勉強会の実習資料を Ubuntu18.04.2 で動かしてみる

仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…

Webブラウザの履歴ファイルの格納場所とビューア

履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite IE10, IE11, Edge の…

Sysmon で DNS クエリのログを取得する

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

フォレンジック学習向けのイメージデータ

「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

Chrome の拡張機能にショートカットを割り当てる

URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成

vim の modeline に関する脆弱性(CVE-2019-12735)について調べてみた

vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…

VisualStudio サブスクリプションまとめ

プラン一覧を確認したい/購入したい 価格と購入のオプション | Visual Studio https://visualstudio.microsoft.com/ja/vs/pricing 価格と購入のオプション | Visual Studio OSイメージをダウンロードしたい/プロダクトキーを確認したい Downloads - My Vis…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

iOS フォレンジック:sysdiagnose ログを解析する

iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

FLASHMINGO を少し動かしてみた

FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…

Ghidra まとめ

入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…

Kali Linux のアップデートが遅い

背景 アップデートというか、Kali Linux での apt が遅かった。 とりあえず接続先を変えると少しは改善しそうだったので、変更ついでに速度を調べてみた。 対象は Kali Linux の公式サイトに掲載されている 18 のミラーサイト。 目次 背景 目次 速度測定結果…

Vnclowpot のログ解析(2)

背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…

RSSフィードのないサイトをRSSリーダーでチェックする

背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSに対応していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用することで、 RSSがな…

DefCamp CTF Qualification 2018 Write-up

CTF

この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…

Trend Micro CTF 2018 Quals Write-up

CTF

この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…

noxCTF 2018 Write-up

CTF

この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…

ハニーポット:Cowrie の tty ログを再生してみた話

背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…

Windows 10 における Zone Identifier の挙動:Web ブラウザによって異なる記録内容

背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…

Cowrie に dmidecode コマンドを追加した話

背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…

検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (2)

前回の振り返り 前回はアンチアナリシスを回避するところまで解析しました。 今回はその続きを解析します。 参考までに以下に前回の解析概要を記載します。 検体解析:2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (1) - setodaNote 単に検体の exe …

ThreatWar:ハニーポットの検知状況がリアルタイムに更新されているサイト

概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…

Vnclowpot のログ解析

背景 定期的に大量アクセスが来る VNC アクセス。 これを検知する Vnclowpot にはイベント件数だけでいうと Cowrie に次ぐ数が記録されている(弊ハニーポット調べ)。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録…

検体解析:Cowrie で捕まえた検体の棚卸し(2018-08-20)

背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…