setodaNote

忘れる用のメモ書き

解析環境構築

サイバー脅威情報集約システム EXIST を活用する ~Twitter Hunter 周りの設定など~

現時点までに調べた内容に基づき記述しているラフ版です。 特に使い方にクセがある Twitter Hunter 周りについてまとめています。 サイバー脅威情報集約システム EXIST を活用する MISP の設定 MISP のフィード設定 EXIST の設定 前提作業 各種APIとの連携設…

サイバー脅威情報集約システム EXIST を構築する

EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報(IPアドレスやハッシュ値)の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。 MISP と連携可能なので、ここでは EXIST+MISP 環境を構築し…

FLARE VM を使って Windows10 に解析環境を構築する

FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環境設定の変更点 導入されていたパッケージ FLARE VM のカ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

FLASHMINGO を少し動かしてみた

FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…

解析環境:HTTPS通信も解析できるマルウェア解析環境の構築

以下のサイトで INetSim と BurpSuite を使って HTTPS に対応した形の 解析環境構築方法が紹介されていたので、これを参考にして HTTPS通信も解析できるマルウェア解析環境を作ってみる。 www.freebuf.com 目次 目次 解析環境の概要 REMnux の準備 キーボー…

解析環境:マルウェア解析用の仮想環境の構築についての解説記事

OALabs Malware Analysis Virtual Machine oalabs.openanalysis.net マルウェア解析用の仮想環境の構築についての解説記事。 VMの入手、OSの入手などなど。 そういえばこういった解説記事はあまりないかも。 解析に利用するツール群も紹介されている。 Check…