Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
学習向けのフォレンジックデータ / Where can I get the images to...
Search
soji256
August 13, 2019
Technology
6
11k
学習向けのフォレンジックデータ / Where can I get the images to learn DFIR
2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。
soji256
August 13, 2019
Tweet
Share
More Decks by soji256
See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
soji256
5
8.2k
Other Decks in Technology
See All in Technology
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
アジャイルチームがらしさを発揮するための目標づくり / Making the goal and enabling the team
kakehashi
3
140
The Rise of LLMOps
asei
7
1.7k
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
600
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
130
Platform Engineering for Software Developers and Architects
syntasso
1
520
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Fireside Chat
paigeccino
34
3k
Building Applications with DynamoDB
mza
90
6.1k
The Invisible Side of Design
smashingmag
298
50k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Facilitating Awesome Meetings
lara
50
6.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
Teambox: Starting and Learning
jrom
133
8.8k
Practical Orchestrator
shlominoach
186
10k
Transcript
0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?
1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など
• セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256
2 ふと...
3
4 たくさんの解析手法が 紹介されているけれど...
5 フォレンジックって どこで遊べばいいの?
6 Malware Analyst Pentester Forensicare ?
7 ? Malware Analyst Pentester Forensicare
8
9
10
11 さすがSANSさん 遊べるメモリイメージを配布して…
12 なかった
13 フォレンジックも 遊べる場所を見つけたい
14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード
15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”
“Practice” “Training” “DFIR” ...
16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics
Testing Images”
17
18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash
19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC
• 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html
20 ENISA: Trainings for Cyber Security Specialists • Local Incident
Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •
毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images
22 でも
23 英語か…… Photo by David Clarke on Unsplash
24 諦めるしかないのか...
25 ちょっとまってください
26 日本には 仙台が あるじゃないですか
27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
29 ? Malware Analyst Pentester Forensicare
30 Malware Analyst Pentester Forensicare
31 ちなみに...
32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない
• 開催終了で入手困難になりがち https://defcon2019.ctfd.io
33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •
ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも
34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads
35 データは無理でも 設問だけなら作れるのでは
36 おまけ: 楽しいかも
37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •
学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです
38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp
39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •
https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution
40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing
Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)