setodaNote

忘れる用のメモ書き

SECCON CTF 2019 公式予選(QUALS) Writeup

CTF

この週末に開催されていた SECCON CTF 2019 公式予選(QUALS) にチームで参加していました。 SECCON2019 https://www.seccon.jp/2019/ 解いた問題について Writeup を記載します。 Sandstorm (misc) 解き方 フラグ 参考文献 ステガノ解析 Tanuki (misc) の…

FLARE VM を使って Windows10 に解析環境を構築する

FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環境設定の変更点 導入されていたパッケージ FLARE VM のカ…

これ何世代前のバージョンだっけと調べたいとき用のメモ(主にOSS)

Exploit や脆弱性の対象となるバージョンがどのくらい前の世代なのか調べたいときに便利なサイトやページをまとめました。 OpenStandia 多数のOSSについて情報がまとめられているサイト。 記載がないものもあるが、概ねバージョンとリリース日の一覧が掲載さ…

CVSS 基本値は評価主体によって値が異なる場合がある

CVSS 基本値 脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値(基本値)が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を…

Windows 10 Timeline 解析記事のメモ

概要 Windows 10 Timeline Forensic Artefacts - CCL Group https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/ 解析まとめ WindowsTimeline | SQLite query & Powershell scripts to parse the Windows 10 (v1803+) ActivitiesCa…

DFIRやMalware解析などについての記事まとめ(2019年4月~9月)

2019年4月~9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、それを"利用…

Titan Security Key をセキュリティキーに使う

Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨してい…

ページファイル(pagefile.sys) の解析

pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…

インシデントレスポンス初動対応時のデータ収集ツール

データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまと…

仙台CTF2017のセキュリティ技術勉強会の実習資料を Ubuntu18.04.2 で動かしてみる

仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…

Webブラウザの履歴ファイルの格納場所とビューア

履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite IE10, IE11, Edge の…

Sysmon で DNS クエリのログを取得する

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

フォレンジック学習向けのイメージデータ

「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

Chrome の拡張機能にショートカットを割り当てる

URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成

vim の modeline に関する脆弱性(CVE-2019-12735)について調べてみた

vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…

VisualStudio サブスクリプションまとめ

目次 目次 プラン一覧を確認したい/購入したい OSイメージをダウンロードしたい/プロダクトキーを確認したい 購入したサブスクリプションの有効期限を確認したい 購入したサブスクリプションを解約したい サブスクリプション 購入時のメールを探したい Azu…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

iOS フォレンジック:sysdiagnose ログを解析する

iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

FLASHMINGO を少し動かしてみた

FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…

Ghidra まとめ

入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…

Kali Linux のアップデートが遅い

背景 アップデートというか、Kali Linux での apt が遅かった。 とりあえず接続先を変えると少しは改善しそうだったので、変更ついでに速度を調べてみた。 対象は Kali Linux の公式サイトに掲載されている 18 のミラーサイト。 目次 背景 目次 速度測定結果…

Vnclowpot のログ解析(2)

背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…

RSSフィードのないサイトをRSSリーダーでチェックする

背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSに対応していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用することで、 RSSがな…

DefCamp CTF Qualification 2018 Write-up

CTF

この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…

Trend Micro CTF 2018 Quals Write-up

CTF

この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…

noxCTF 2018 Write-up

CTF

この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…