2019年の Advent Calendar から主にサイバーセキュリティに関係する記事で気になったものをまとめました。

Raspberry Pi でも CentOS が動くと聞いたので試してみました。手順については多くのブログで紹介されているのでそれを参考にしていますが、手間取ったところもあったのでそれを含めて記載しています。

この週末に開催されていた TUCTF 2019 にチームで参加していました。 TU CTF https://tuctf.com/ （サイト閉鎖済み） 解いた問題について Writeup を記載します。 (Reversing) object (Reversing) core (PWN) runme 更新履歴 (Reversing) object 以下のよう…

この週末にあった TSG LIVE! 3 内で開催されていたライブCTF「TSG LIVE! CTF 4」に少しだけ参加していました。 ライブプログラミングショー TSG LIVE! 4*1 https://live.tsg.ne.jp/ 番組内での解説前に解いた問題について Writeup を記載します。 (Web) Is t…

毎年、米国の感謝祭（11月の第4木曜日）に合わせて11月の末頃には様々なものが通常より安い価格でセールされており、Black Friday や Cyber Monday と呼ばれています。 サイバーセキュリティに関わるソフトウェアや Web サービスも通常より割安になるものが…

この週末に開催されていた RITSEC CTF 2019 にチームで参加していました。 RITSEC CTF 2019 https://ctf.ritsec.club/ （サイト閉鎖済み） 解いた問題について Writeup を記載します。 (Forensics) Long Gone (Forensics) Vacation (Stego) the_doge (Web) B…

APT グループ名や利用マルウェア名から、関連する APT グループの概要をさくっと知るのに便利なサイトをまとめました。

2019-11-12 現時点までに調べた内容に基づき記述しているラフ版です。 特に使い方にクセがある Twitter Hunter 周りについてまとめています。 サイバー脅威情報集約システム EXIST を活用する MISP の設定 MISP のフィード設定 EXIST の設定 前提作業 各種AP…

2023-01-10 EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報（IPアドレスやハッシュ値）の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。 MISP と連携可能なので、ここでは EXIST+MISP …

この週末に開催されていた SECCON CTF 2019 公式予選（QUALS） にチームで参加していました。 SECCON2019 https://www.seccon.jp/2019/ 解いた問題について Writeup を記載します。 Sandstorm (misc) 解き方 フラグ 付録 Sandstorm の別解 参考文献 ステガノ…

2023-01-10 FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する Microsoft Defender Antivirus を無効化する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環…

Exploit や脆弱性の対象となるバージョンがどのくらい前の世代なのか調べたいときに便利なサイトやページをまとめました。 OpenStandia 多数のOSSについて情報がまとめられているサイト。 記載がないものもあるが、概ねバージョンとリリース日の一覧が掲載さ…

CVSS 基本値 脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値（基本値）が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を…

2023-01-10 概要 Windows 10 Timeline Forensic Artefacts - CCL Group https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/ （2020/08/31 追記：削除されていました） 解析まとめ WindowsTimeline | SQLite query & Powershell sc…

2023-01-10 2019年4月～9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、…

Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨してい…

pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…

2023-01-10 データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果…

仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…

2023/01/10 それぞれ、トリプルクリックするとパスを全選択できます。 履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla…

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

2023-01-10 「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイ…

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット（pcap） Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成

vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性（CVE-2019-12735）が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…

2020-01-13 最終更新日：2020/01/13 プラン一覧を確認したい／購入したい OSイメージをダウンロードしたい／プロダクトキーを確認したい 購入したサブスクリプションの有効期限を確認したい 購入したサブスクリプションを解約したい サブスクリプション購入…

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。ここでは Cuckoo 2.0…

2019-08-20 iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the foren…

2023-01-10 CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo （より正確には spender-sandbox）をベースに開発されており、多くのマルウェアからペイロードや設定情報…