2023-01-10

2019年10月～2019年12月にツイートしたりリツイートしたツイートからまとめています。

• DFIR関連
  • 架空のシナリオに基づくフォレンジックCTF
  • macOS上に現存するappの痕跡？-appList.datについて
  • Emotet に関する感染の様子（タイムライン）
  • これなしでは生きていけない10の無料フォレンジックツール
  • フォレンジックアーティファクト収集ツール - Speaker Deck
• Malware解析関連
  • Predator the thief についての詳細解析記事
  • Azorult の解析記事
  • Emotet に関する詳細な調査報告レポート
  • 自己完結型フィッシングページ（Self-Contained Phishing Page）の解析記事
  • 二重底のような zip が攻撃に使われたそうです
  • Palo Alto のブログで紹介されていた Powershell の静的解析スクリプト
  • Here Be Dragons: Reverse Engineering with Ghidra - Part 1
  • ANY.RUN の2019年の年間統計
  • FLARE VM 構築メモ
• OSINT関連
  • 映画で楽しむ OSINT な休日
  • CVE 情報などを簡単に検索・関連付け表示できる Chrome 拡張機能 ThreatPinch Lookup
  • Network Entity Reputation Database (NERD) という悪性な挙動をした IPアドレス DB の WebUI
  • Twitter IOC Hunter
  • APT グループを調べるときに便利なサイトまとめ
  • サイバー脅威情報集約システム EXIST
  • EXIST 構築するよ!! - YouTube
• その他
  • バリーくんのぬいぐるみ
  • CTFことはじめ
  • Ho Ho Ho. ／ 2019 SANS Holiday Hack Challenge
  • ビギナー向けのバイナリ解析問題とのこと
  • Windows の Account Logon Flow
  • POSIX はあるけど Linux, OpenBSD, FreeBSD でファイルの Timestamp 処理実装は異なる
  • Kaspersky が提供するスレットハンティングサービスの統計レポート
  • UserAgentからOS/ブラウザなどの調べかたのまとめ
  • PacketProxyを触ってみました
• 付録
  • 過去記事
• 更新履歴

DFIR関連

架空のシナリオに基づくフォレンジックCTF

他にもいくつかシナリオがあるようです。ページ下部にはストーリ仕立ての解説記事もありました。

• Home : DFIR CTF - Email took my money (Exchange forensics training scenario) - Mellivora, the CTF engine
  https://ctf.unizar.es/estafa_CEO/home

macOS上に現存するappの痕跡？-appList.datについて

• macOS上に現存するappの痕跡？-appList.datについて- [Trace of app path on macOS -About appList.dat-] - 見習いフォレンジッカーのメモ
  https://padawan-4n6.hatenablog.com/entry/2019/10/22/025613

Emotet に関する感染の様子（タイムライン）

Word Doc -> Emotet -> Trickbot -> Cobaltstrike -> Bloodhound -> Powershell Empire と感染していく様子をタイムラインで紹介している記事。実時間の記載があるのユニーク。

• Emotet, an Analysis of TTP’s: Part 1 The Break-in – Laskowski-Tech
  https://laskowski-tech.com/2019/10/16/emotet-an-analysis-of-ttps-part-1-the-break-in/

これなしでは生きていけない10の無料フォレンジックツール

• 10 Free Forensic Tools I Can't Live Without
  https://www.stark4n6.com/2019/10/10-free-forensic-tools-i-cant-live.html

フォレンジックアーティファクト収集ツール - Speaker Deck

MAIR忍者チャレンジで LT させていただいた発表資料です。

• フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools - Speaker Deck
  https://speakerdeck.com/soji256/forensic-artifacts-collecting-tools

Malware解析関連

Predator the thief についての詳細解析記事

単純に私がこのブログのファンなだけなのですが、この方のマルウェア解析記事ほど魅力的な解析記事はない気がしています。

• Let’s play (again) with Predator the thief – Fumik0_'s box
  https://fumik0.com/2019/12/25/lets-play-again-with-predator-the-thief/

Azorult の解析記事

不審ファイルを受け取ったところから検体解析について順を追って説明してくれているので、読んでいて楽しい。

• Messing with Azorult Part 1: Malware Breakdown | Trustwave
  https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/messing-with-azorult-part-1-malware-breakdown/

Emotet に関する詳細な調査報告レポート

使用しているテクニックやC2通信の構造など幅広く書かれている。少し長いけれど図が多めで読みやすい。

• Virus Bulletin :: VB2019 paper: Exploring Emotet, an elaborate everyday enigma
  https://www.virusbulletin.com/virusbulletin/2019/10/vb2019-paper-exploring-emotet-elaborate-everyday-enigma/

自己完結型フィッシングページ（Self-Contained Phishing Page）の解析記事

難読化された JavaScript を紐解いて通信先を得るところまでを、ステップを追いながら紹介している。

• Reversing a Self-Contained Phishing Page | Kahu Security
  http://www.kahusecurity.com/posts/reversing_a_self-contained_phishing_page.html

二重底のような zip が攻撃に使われたそうです

アーカイバによって展開失敗、無害なファイルのみ展開、悪意のあるファイル（NanoCore RAT）のみ展開といった差が生じるとのこと。

• Double Loaded Zip File Delivers Nanocore | Trustwave
  https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/

Palo Alto のブログで紹介されていた Powershell の静的解析スクリプト

難読化の解除やリスクレベルの推定などが可能。試してみたらマルウェアファミリの推定まで得られてちょっと楽しい。

• public_tools/powershellprofiler at master · pan-unit42/public_tools
  https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler

Here Be Dragons: Reverse Engineering with Ghidra - Part 1

Ghidraを用いたリバースエンジニアリングの入門記事。

• Here Be Dragons: Reverse Engineering with Ghidra - Part 1 [Data, Functions & Scripts]
  https://www.shogunlab.com/blog/2019/12/22/here-be-dragons-ghidra-1.html

ANY.RUN の2019年の年間統計

Winter Holidays are coming! 🥳
Have a look at ANY.RUNs annual report below 🚀 pic.twitter.com/8DEqcVUNjg

— ANY.RUN (@anyrun_app) December 20, 2019

FLARE VM 構築メモ

自動化の仕組みが面白かったです。

• FLARE VM を使って Windows10 に解析環境を構築する - setodaNote
  https://soji256.hatenablog.jp/entry/2019/10/14/224121

OSINT関連

映画で楽しむ OSINT な休日

Searching (2018) はすべてのシーンがPC画面の中で進むという画的な斬新さでも話題になった映画です。割と好きでした。

• OSINT Movie Time for the Holidays - Sector035 - Medium
  https://medium.com/@sector035/osint-movie-time-for-the-holidays-7a5f74f18f44

CVE 情報などを簡単に検索・関連付け表示できる Chrome 拡張機能 ThreatPinch Lookup

使ってみると楽しいです。

• ThreatPinch Lookup - Chrome ウェブストア
  https://chrome.google.com/webstore/detail/threatpinch-lookup/ljdgplocfnmnofbhpkjclbefmjoikgke

Network Entity Reputation Database (NERD) という悪性な挙動をした IPアドレス DB の WebUI

ホスト名の末尾、国コードなどでも検索できる。結果には直近での悪性な振る舞い一覧も含む。Shodan など他サイトへのクエリリンクもあって楽しそう。

• IP search - NERD web
  https://nerd.cesnet.cz/nerd/ips/

Twitter IOC Hunter

Twitter に流れているハッシュ値、URL、メールアドレス、ドメインなどをスクレイピングしてダッシュボードで見せてくれるサイトらしい。各種検索も可能。見た目が綺麗で楽しそう。

• Twitter IOC Hunter
  http://tweettioc.com/

APT グループを調べるときに便利なサイトまとめ

忘れていたり初めて耳にしたりする APT グループや利用マルウェアについてその概要をさくっと知りたいときに便利なサイトをまとめました。

• APT グループを調べるときに便利なサイトまとめ - setodaNote
  https://soji256.hatenablog.jp/entry/2019/10/30/202718

サイバー脅威情報集約システム EXIST

NICTER解析チームが開発したEXIST+MISP環境を構築する手順を投稿しました。合わせてこれらを自動的に構築するスクリプトも公開しています。 また、EXIST を使った情報収集方法についてもまとめています。導入は比較的簡単なのですが、活用は特にTwitter周りの挙動にクセがあり、その設定方法などをまとめました。

• サイバー脅威情報集約システム EXIST を構築する - setodaNote
  https://soji256.hatenablog.jp/entry/2019/10/23/002216

• サイバー脅威情報集約システム EXIST を活用する ～Twitter Hunter 周りの設定など～ - setodaNote
  https://soji256.hatenablog.jp/entry/2019/10/23/002347

• exist_with_misp_autoinstall/README-JP.md at master · soji256/exist_with_misp_autoinstall
  https://github.com/soji256/exist_with_misp_autoinstall/blob/master/README-JP.md

EXIST 構築するよ!! - YouTube

EXIST の構築手順を動画にしてみました。準備編と構築編に分かれています。

• 準備編

　

• 構築編

その他

バリーくんのぬいぐるみ

この愛情こもった制作秘話を読んだらもう。ここに至るまでのこだわりと修正、それに応える製作者の経緯が書かれていて面白い。

• バリーくんのぬいぐるみができるまで | IIJ Engineers Blog
  https://eng-blog.iij.ad.jp/archives/4749

CTFことはじめ

pwn の説明がこのくらいならできそうと思わせてくれる感じがしてとても好き。

• CTFことはじめ - Qiita
  https://qiita.com/tatorooou/items/7acb0aa47bc206344d91

Ho Ho Ho. ／ 2019 SANS Holiday Hack Challenge

• The 2019 SANS Holiday Hack Challenge
  https://holidayhackchallenge.com/2019/

ビギナー向けのバイナリ解析問題とのこと

FlareVMを使って解くのも楽しいよとあるので、導入後に練習で解いてみるのも良いかも。

• Zombieland CTF – Reverse Engineering for Beginners – Analysis 101
  https://mcb101.blog/2019/10/11/zombieland-ctf-reverse-engineering-for-beginners/

Windows の Account Logon Flow

Windows でログインした際の処理の流れ。

⚙️Account Logon Flow / Process (#Windows) v0.1
📕[PDF]:https://t.co/B3RlMBxvG4
🔗[DIRECT]:https://t.co/5XEXQomsFf
...for self understanding logon flow / process in windows system. Special thanks to Andrei Miroshnikov💪
"Find Evil – Know Normal" #SANS#threathunting #blueteam pic.twitter.com/jVuLNRpAZh

— Ring3API (@rimpq) December 9, 2019

POSIX はあるけど Linux, OpenBSD, FreeBSD でファイルの Timestamp 処理実装は異なる

最後の各OSの処理をまとめた図がとても綺麗でそれだけ見て満足してしまいそうな記事。

• MAC(B) Timestamps across POSIX implementations (Linux, OpenBSD, FreeBSD)
  https://medium.com/@quoscient/mac-b-timestamps-across-posix-implementations-linux-openbsd-freebsd-1e2d5893e4f

Kaspersky が提供するスレットハンティングサービスの統計レポート

平均対処時間や検知ソースの割合、検知した際の攻撃ステージ区分などがグラフとともに報告されています。読んでいて楽しい。

• Managed Detection and Response analytics report | Securelist
  https://securelist.com/managed-detection-and-response-analytics-report/94076/

UserAgentからOS/ブラウザなどの調べかたのまとめ

• UserAgentからOS/ブラウザなどの調べかたのまとめ - Qiita
  https://qiita.com/nightyknite/items/b2590a69f2e0135756dc

PacketProxyを触ってみました

• PacketProxyを触ってみました - SSTエンジニアブログ
  https://techblog.securesky-tech.com/entry/2019/10/04/

付録

過去記事

soji256.hatenablog.jp

更新履歴

• 2020/01/16 新規作成
• 2023/01/10 一部リンク切れの旨を追記