setodaNote

忘れる用のメモ書き

DFIRやMalware解析などについての記事まとめ(2019年4月~9月)

2019年4月~9月のツイートからまとめています。

DFIR関連

侵害有無を簡易に調査する Linux コマンド15選

保全との兼ね合いはあるけれど、侵害を受けたかもしれない Linux マシンを調べるときの参考になりそう。

DNS 通信から悪性な通信を見つける調査観点

こういう挙動は一般的でないから要注意といった経験に基づく観点が具体的に書かれていました。

AmCache に関する ANSSI の報告書

AmCache は挙動の仕様変更が多く解析時に考慮が必要な点がいくつかあるけれど exe の実行痕跡に関してフォレンジックに有用な情報が多くあるからもっと見てこという ANSSI の報告書。

NTFS Journal Forensics

Windows Forensics シリーズの新エピソードが公開されていました。 $MFT、$UsnJrnl、$LogFile の違いについてや Triforce ANJP というツールを使った解析方法を学習する内容。ぱっと見た感じ面白そう!

プログラムを実行したからといって、それを"利用したかどうか"は別問題

アーティファクトが意味することを正確に理解し、適切な検証が必要だよねと。

Volatility:Windows 10 のメモリ圧縮への対応

FireEye が、Volatility などで Windows 10 のメモリを解析した際にメモリ圧縮が原因で発生していたデータ欠損について、解消する方法を紹介しています。

メールに含まれる一見それと気づかないタイムスタンプの見つけ方

出会う可能性のあるタイムスタンプ一覧も合わせて紹介されていました。

イベントログのタイムスタンプについて

Windows の標準機能でイベントログをエクスポートするとレコードヘッダとレコードコンテンツがずれて紐づくので、ヘッダではなくコンテンツのタイムスタンプを確認しようねという話。

KAPEを使ってタイムラインを作成するチュートリアル

SANSの記事。短めで図が多いので初学者でも楽しくできそうな感じです。

スレットハンティングに有用な検索クエリの一覧

Splunk, Qradar, Arcsight, Elasticsearch それぞれ用のクエリが綺麗にまとめられていました。

Sysmon の DNS クエリ周りのログについて

実際に動かして検証されている記事。まとめに Sysmon が何を見て DNS クエリを取得しているかについても触れられてました。

WMI 関連の永続化情報 WMI Event Subscription の解析

"WMI Event Subscription" という WMI に絡む永続化情報を OBJECTS .DATA ファイルの解析で見つけるという記事。CDIR では取得対象のファイルとなっていました。

Windows10 のエラー報告ファイル(*.WER)の解析記事

クラッシュしたプロセスの SHA-1 が含まれている場合があるよという記事。不審なプロセスのクラッシュレポートがDFIRにさらに役立つねということのよう。

フォレンジックの解説動画

複数のアーティファクトの紐づけや、Win10 で登場/退場したアーティファクトの話などがされていて面白い。内容はすべて文字起こしされていて翻訳も楽。

とあるRATに感染したマシンのフォレンジック解析ブログ

解析の流れを追うように書かれていて面白い。

MacOS から有用な情報を得るためのログや調査観点

インシデント調査で MacOS から有用な情報を得るためのログや調査観点を紹介している記事。sysdiagnose、unified logging、FSEvents について取り上げられていました。

Apple Watch のフォレンジックメモ

データの取得方法やどんな情報が含まれているのか画像豊富に紹介されていました。眺めるだけでも面白い。

DFIRチーム向けのツールやリソースの一覧

証跡収集ツールにどんなものがあるのか調べていたときに見つけたのでそういったツール多め。

Malware解析関連

900 以上の Windows マルウェアファミリの調査

2003年~2018年における 900 以上の Windows マルウェアファミリのラベル付きサンプルを分析し、実装されていた手法を ATT&CK にマッピングした調査報告。

マルウェアのPDBパスについて

マルウェアについて「PDBパス」という切り口で得られる興味深い洞察についてまとめたレポート。 合わせてこれを抽出するYaraルール「ConventionEngine」も公開しています。

クリーンと思われるPDBパスのサンプル

FireEyeの記事に触発されてクリーンであろうPDBパスのサンプルを公開されている方の記事。 面白いことにそのほとんどは C:\ 以外だったとのこと。サンプルは34万行ほど。ページ下部の "here" からダウンロードできます。

無料講座:マルウェアのリバースエンジニアリングと脅威インテリジェンス

マルウェアのリバースエンジニアリングと脅威インテリジェンスという12週間に渡る無料講座。初心者向けとのこと。 マルウェアのRC4による暗号化アルゴリズムの解説などが聞けるみたい。なお視聴するためには要登録。

国判定VBAマクロの進化についての解析レポート

LockerGogaの内部構造を紐解く

いつもながら詳細でとても面白い。

  • LockerGogaの内部構造を紐解く | MBSD Blog
    https://www.mbsd.jp/blog/20190827.html

    直近のLockerGoga関連事件として記憶に新しい今年3月のノルウェーでの攻撃で使用されたといわれている検体にフォーカスを当て、感染の始まりから終了までその挙動の全体像を解説します。

OSINT関連

画像検索サイトについての比較記事

Google、Yandex、Bing、TinEye について、それぞれの特徴や長所短所、結果がどのように異なるかを具体例を交えて紹介しています。

その他

アクセスの多いWebサイトの世界ランクTop100

綺麗に視覚化されていて楽しい。データ元は SimilarWeb のもので、専用アプリからアクセスしたようなトラフィックは集計に含まれていないとのこと。

セキュリティ関連の Discord など

Hack the Box の試行錯誤も含めた解説動画

Hack the Box の廃止されたマシン(retired boxes)について、どんな感じで解いていくのか試行錯誤も含めた解説動画をあげているチャンネル。 強い人がCTFを解くのをライブストリーミングで見ている感じでとても面白い。

HackTale:Windows のフォレンジック調査を体験できるゲーム

ちょっと試したところ Autopsy が出てきたり EventLog の見方を聞かれたりと凝った作りのよう。リンク先の「Start Playing」からブラウザでそのままさくっと楽しめます。

外部からアクセス可能な産業用制御システムを可視化した記事

イタリアにある産業用制御システムがどのくらいインターネットからアクセスできるのかを Shodan などを使って可視化した記事。内容も面白いけれど工場のアイコンがカラフルなの良い。

更新履歴

  • 2019/09/24 新規作成