setodaNote

忘れる用のメモ書き

解析関連

Webブラウザの履歴ファイルの格納場所とビューア

履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite IE10, IE11, Edge の…

Sysmon で DNS クエリのログを取得する

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

フォレンジック学習向けのイメージデータ

「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

vim の modeline に関する脆弱性(CVE-2019-12735)について調べてみた

vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…

VisualStudio サブスクリプションまとめ

プラン一覧を確認したい/購入したい 価格と購入のオプション | Visual Studio https://visualstudio.microsoft.com/ja/vs/pricing 価格と購入のオプション | Visual Studio OSイメージをダウンロードしたい/プロダクトキーを確認したい Downloads - My Vis…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

iOS フォレンジック:sysdiagnose ログを解析する

iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

FLASHMINGO を少し動かしてみた

FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…

Ghidra まとめ

入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…

Windows 10 における Zone Identifier の挙動:Web ブラウザによって異なる記録内容

背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…

ThreatWar:ハニーポットの検知状況がリアルタイムに更新されているサイト

概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…

.SettingContent-ms への対策がされたと聞いて試してみた

背景 2018年7月頃に悪用され得るとして少し話題になった拡張子「.SettingContent-ms」。 すでにいくつか対策がされていたのに加えて、8月14日の WindwosUpdate において トリックが不可能になるようパスの検証が詳細にされるように 対策されたという記事 が…

Shodan のメンバーシップアカウントでできること

Shodan にはフリーのアカウントの他にメンバーシップ(Shodan Membership)というものがある。 フリーのアカウントでログインしている状態で下記にアクセスすると、メンバーシップについての説明を閲覧できる。 Shodan Membership メンバーシップについての…

解析環境:HTTPS通信も解析できるマルウェア解析環境の構築

以下のサイトで INetSim と BurpSuite を使って HTTPS に対応した形の 解析環境構築方法が紹介されていたので、これを参考にして HTTPS通信も解析できるマルウェア解析環境を作ってみる。 www.freebuf.com 目次 目次 解析環境の概要 REMnux の準備 キーボー…

Visual Studio サブスクリプションと Free Virtual Machines from IE8 to MS Edge

マルウェアの解析用にテスト用のOSがほしいときがある。 そんなときには「Visual Studio サブスクリプション」や 「Free Virtual Machines from IE8 to MS Edge」が便利。 Visual Studio サブスクリプション(有償) 古いものも含めて各種 Windows のインス…

Windowsでncコマンドやcurlコマンドを使えるようにする

Linux を使えばいいものの Windows で nc や curl を使いたいときがたまにあります。 いくつか方法はあると思いますが、ここでは Cygwin を使ってインストールしてみます。 Cygwin まずは以下のサイトから Cygwin をダウンロードします。 ページ左上の「Inst…

解析環境:マルウェア解析用の仮想環境の構築についての解説記事

OALabs Malware Analysis Virtual Machine oalabs.openanalysis.net マルウェア解析用の仮想環境の構築についての解説記事。 VMの入手、OSの入手などなど。 そういえばこういった解説記事はあまりないかも。 解析に利用するツール群も紹介されている。 Check…

解析記事:Ursnif(gozi)の解析妨害とその回避手法

Ursnif(gozi)の解析妨害とその回避手法 IIJ が発行しているレポートで Ursnif の解析方法がとても詳しく紹介されている。 Internet Infrastructure Review(IIR)Vol.34 2017年3月15日発行

oletools - OLEおよびMS Officeファイルを解析するためのPythonツール

oletools - OLEおよびMS Officeファイルを解析するためのPythonツール 確認時の最新版:2018-05-30 v0.53 悪質な文書を分析するツール oleid:OLEファイルを分析して、悪質ファイルに含まれる特性を検出する olevba:MS Officeドキュメント(OLEおよびOpenXM…

ZoneID を付与する方法など

ZoneID とは ファイルの代替ストリーム(Alternate Data Stream, ADS)として記録される Zone.Identifier のひとつ。 外部から取得したファイルなどに付与され、ファイル起動時に警告を表示する/しないの判断などに利用されている。 Windows XP Service Pac…

Shodan的なサイト

ZoomEye - Cyberspace Search Engine Shodan と同じようにポートなどが空いているIPなどを探せるサイト。 https://www.zoomeye.org/ 使い方 「port:12345 country:Japan」で検索した場合の例。 https://www.zoomeye.org/searchResult?q=port%3A12345%20count…