setodaNote

忘れる用のメモ書き

Raspberry Pi 4 で CentOS 7 を動かす

Raspberry Pi でも CentOS が動くと聞いたので試してみました。 手順については多くのブログで紹介されているのでそれを参考にしていますが、手間取ったところもあったのでそれを含めて記載しています。 Raspberry Pi 用の CentOS 7 イメージを SD カードに…

TUCTF 2019 Writeup

CTF

この週末に開催されていた TUCTF 2019 にチームで参加していました。 TU CTF https://tuctf.com/ 解いた問題について Writeup を記載します。 (Reversing) object (Reversing) core (PWN) runme 更新履歴 (Reversing) object 以下のような問題文と共に、run.…

TSG LIVE! CTF 4 (2019) Writeup

CTF

この週末にあった TSG LIVE! 3 内で開催されていたライブCTF「TSG LIVE! CTF 4」に少しだけ参加していました。 ライブプログラミングショー TSG LIVE! 4*1 https://live.tsg.ne.jp/ 番組内での解説前に解いた問題について Writeup を記載します。 (Web) Is t…

Black Friday 2019 まとめ(サイバーセキュリティ関連)

毎年、米国の感謝祭(11月の第4木曜日)に合わせて11月の末頃には様々なものが通常より安い価格でセールされており、Black Friday や Cyber Monday と呼ばれています。 サイバーセキュリティに関わるソフトウェアや Web サービスも通常より割安になるものが…

RITSEC CTF 2019 Writeup

CTF

この週末に開催されていた RITSEC CTF 2019 にチームで参加していました。 RITSEC CTF 2019 https://ctf.ritsec.club/ 解いた問題について Writeup を記載します。 (Forensics) Long Gone (Forensics) Vacation (Stego) the_doge (Web) Buckets of fun (Web)…

APT グループを調べるときに便利なサイトまとめ

APT グループ名や利用マルウェア名から、関連する APT グループの概要をさくっと知るのに便利なサイトをまとめました。 APT グループの概要を知りたいとき Threat Group Cards: A Threat Actor Encyclopedia APTMAP Groups | MITRE ATT&CK その他 APT攻撃グ…

サイバー脅威情報集約システム EXIST を活用する ~Twitter Hunter 周りの設定など~

現時点までに調べた内容に基づき記述しているラフ版です。 特に使い方にクセがある Twitter Hunter 周りについてまとめています。 サイバー脅威情報集約システム EXIST を活用する MISP の設定 MISP のフィード設定 EXIST の設定 前提作業 各種APIとの連携設…

サイバー脅威情報集約システム EXIST を構築する

EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報(IPアドレスやハッシュ値)の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。 MISP と連携可能なので、ここでは EXIST+MISP 環境を構築し…

SECCON CTF 2019 公式予選(QUALS) Writeup

CTF

この週末に開催されていた SECCON CTF 2019 公式予選(QUALS) にチームで参加していました。 SECCON2019 https://www.seccon.jp/2019/ 解いた問題について Writeup を記載します。 Sandstorm (misc) 解き方 フラグ 付録 Sandstorm の別解 参考文献 ステガノ…

FLARE VM を使って Windows10 に解析環境を構築する

FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環境設定の変更点 導入されていたパッケージ FLARE VM のカ…

これ何世代前のバージョンだっけと調べたいとき用のメモ(主にOSS)

Exploit や脆弱性の対象となるバージョンがどのくらい前の世代なのか調べたいときに便利なサイトやページをまとめました。 OpenStandia 多数のOSSについて情報がまとめられているサイト。 記載がないものもあるが、概ねバージョンとリリース日の一覧が掲載さ…

CVSS 基本値は評価主体によって値が異なる場合がある

CVSS 基本値 脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値(基本値)が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を…

Windows 10 Timeline 解析記事のメモ

概要 Windows 10 Timeline Forensic Artefacts - CCL Group https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/ 解析まとめ WindowsTimeline | SQLite query & Powershell scripts to parse the Windows 10 (v1803+) ActivitiesCa…

DFIRやMalware解析などについての記事まとめ(2019年4月~9月)

2019年4月~9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、それを"利用…

Titan Security Key をセキュリティキーに使う

Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨してい…

ページファイル(pagefile.sys) の解析

pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…

インシデントレスポンス初動対応時のデータ収集ツール

データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまと…

仙台CTF2017のセキュリティ技術勉強会の実習資料を Ubuntu18.04.2 で動かしてみる

仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…

Webブラウザの履歴ファイルの格納場所とビューア

履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite IE10, IE11, Edge の…

Sysmon で DNS クエリのログを取得する

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

フォレンジック学習向けのイメージデータ

「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

Chrome の拡張機能にショートカットを割り当てる

URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成

vim の modeline に関する脆弱性(CVE-2019-12735)について調べてみた

vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…

VisualStudio サブスクリプションまとめ

目次 目次 プラン一覧を確認したい/購入したい OSイメージをダウンロードしたい/プロダクトキーを確認したい 購入したサブスクリプションの有効期限を確認したい 購入したサブスクリプションを解約したい サブスクリプション購入時のメールを探したい Azur…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

iOS フォレンジック:sysdiagnose ログを解析する

iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…