CVSS 基本値 脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値(基本値)が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を…
概要 Windows 10 Timeline Forensic Artefacts - CCL Group https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/ (2020/08/31 追記:削除されていました) 解析まとめ WindowsTimeline | SQLite query & Powershell scripts to pa…
2019年4月~9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、それを"利用…
Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨してい…
pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…
データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまと…
仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…
それぞれ、トリプルクリックするとパスを全選択できます。 履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Pr…
Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…
「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネ…
実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…
URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成
vim で細工されたテキストファイルを開いた際に modeline を利用して任意のコード実行がされてしまう脆弱性(CVE-2019-12735)が 2019/06/04 付で公開されています。 影響するプロダクトとして Vim < 8.1.1365 が記載されていましたが、手元も環境で試したと…
最終更新日:2020/01/13 プラン一覧を確認したい/購入したい OSイメージをダウンロードしたい/プロダクトキーを確認したい 購入したサブスクリプションの有効期限を確認したい 購入したサブスクリプションを解約したい サブスクリプション購入時のメールを…
Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…
CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。ここでは Cuckoo 2.0…
iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…
CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…
MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…
FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…
入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…
背景 アップデートというか、Kali Linux での apt が遅かった。 とりあえず接続先を変えると少しは改善しそうだったので、変更ついでに速度を調べてみた。 対象は Kali Linux の公式サイトに掲載されている 18 のミラーサイト。 目次 背景 目次 速度測定結果…
背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…
背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSに対応していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用することで、 RSSがな…
この週末に開催されていた DefCamp CTF Qualification 2018 にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Memsome (Reverse) 解き方 ブレークポイントした箇所(抜粋) フラグ Broken TV (Misc) 解き方 フラグ Sim…
この週末に開催されていた Trend Micro CTF 2018 Quals にチームで参加していました。 ctftime.org 解いた問題について Write-up を記載します。 Reversing-Other 200 解き方 (参考)ブレークポイントした箇所 フラグ Reversing-Binary 300 解き方 (参考)…
この週末に開催されていた noxCTF 2018 にチームで参加していました。 解いた問題について Write-up を記載します。 Guess The String 解き方 添付ファイルはELF実行形式。 ( Hash ) MD5 : e701e054a1e1f6ab452c6c623b71c6c9 SHA1 : 6e946d07f6cdd6aa987eedf…
背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…
背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…
背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…