Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
学習向けのフォレンジックデータ / Where can I get the images to...
Search
soji256
August 13, 2019
Technology
7
12k
学習向けのフォレンジックデータ / Where can I get the images to learn DFIR
2019/8/13 に開催されたDFIR LT大会で話した資料です。「フォレンジックに手を出してみたいけれど解析したくなる面白いデータが見つからない」とお悩みの方に。
soji256
August 13, 2019
Tweet
Share
More Decks by soji256
See All by soji256
フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools
soji256
6
9.1k
Other Decks in Technology
See All in Technology
隙間ツール開発のすすめ / PHP Conference Fukuoka 2025
meihei3
0
330
Master Dataグループ紹介資料
sansan33
PRO
1
3.9k
Post-AIコーディング時代のエンジニア生存戦略
shinoyu
0
250
品質保証の取り組みを広げる仕組みづくり〜スキルの移譲と自律を支える実践知〜
tarappo
2
840
嗚呼、当時の本番環境の状態で AI Agentを再評価したいなぁ...
po3rin
0
400
ソフトウェアテストのAI活用_ver1.50
fumisuke
0
300
[JDDStudy #10] 社内Agent勉強会の取り組み紹介
yp_genzitsu
1
130
今、MySQLのバックアップを作り直すとしたら何がどう良いのかを考える旅
yoku0825
0
170
What's the recommended Flutter architecture
aakira
1
940
Lazy Constant - finalフィールドの遅延初期化
skrb
0
120
手を動かしながら学ぶデータモデリング - 論理設計から物理設計まで / Data modeling
soudai
PRO
13
3.5k
エンタープライズ企業における開発効率化のためのコンテキスト設計とその活用
sergicalsix
1
330
Featured
See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
117
20k
Visualization
eitanlees
150
16k
Navigating Team Friction
lara
190
15k
It's Worth the Effort
3n
187
28k
Code Reviewing Like a Champion
maltzj
527
40k
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
24
1.5k
Speed Design
sergeychernyshev
32
1.2k
Bash Introduction
62gerente
615
210k
The Invisible Side of Design
smashingmag
302
51k
Transcript
0 学習向けのフォレンジックデータ フォレンジックってどこで遊べますか?
1 About Me • 名前 soji256 (読み soːdʑi) • お仕事など
• セキュリティの世界に関わったのは2016年の後半から • 以前は主にシステム開発に関わる業務に従事していました • なお、フォレンジックは趣味 • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR忍者チャレンジ(予定) @soji256
2 ふと...
3
4 たくさんの解析手法が 紹介されているけれど...
5 フォレンジックって どこで遊べばいいの?
6 Malware Analyst Pentester Forensicare ?
7 ? Malware Analyst Pentester Forensicare
8
9
10
11 さすがSANSさん 遊べるメモリイメージを配布して…
12 なかった
13 フォレンジックも 遊べる場所を見つけたい
14 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード
15 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Forensic” “Image”
“Practice” “Training” “DFIR” ...
16 フォレンジックで遊べる場所を考える • トレーニングやハンズオン勉強会 • 気軽に楽しめる仮想インシデントのデータがほしい • 情報化社会の世界で必要なのは適切な検索ワード “Digital Forensics
Testing Images”
17
18 Find out! (やったぜ) Photo by Samuel Clara on Unsplash
19 NIST: The CFReDS Project • Hacking Case • ハッキングに利用された疑いのあるノートPC
• 無料の公衆WiFiの通信を傍受 • クレジットカード番号やクレデンシャル情報を 不正に入手していた疑いがある • 備考: • 解析をして31の質問に答えていく • ダウンロードサイズ: 1.2GB • 最終更新日: 2018年8月16日 https://www.cfreds.nist.gov/Hacking_Case.html
20 ENISA: Trainings for Cyber Security Specialists • Local Incident
Response • 機密情報がWebサービスで公開された • ある従業員の端末がこれに関連 • CSIRTとしてインシデント対応と調査を担当 • 備考: • 素敵なハンドブックが付随 • ハンドブックに沿ってイメージデータを 解析していく • ダウンロードサイズ: 6.8GB • 最終更新日: 2016年12月 https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational
21 DFIR Training: Test Images and Challenges • フォレンジック向けのイメージデータ集(RSS付き) •
毎月なんらかデータが追加されている様子 https://dfir.training/resources/downloads/ctf-forensic-test-images
22 でも
23 英語か…… Photo by David Clarke on Unsplash
24 諦めるしかないのか...
25 ちょっとまってください
26 日本には 仙台が あるじゃないですか
27 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
28 仙台CTF 2017 • 情報セキュリティ技術のスキルアップ・イベント • 「メモリフォレンジック」と「タイムライン解析」に関する演習用イメージが公開 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html
29 ? Malware Analyst Pentester Forensicare
30 Malware Analyst Pentester Forensicare
31 ちなみに...
32 CTF も楽しいです • DFIR特化のCTFもある • Forensics というジャンル • ディスクイメージ提供は多くない
• 開催終了で入手困難になりがち https://defcon2019.ctfd.io
33 補足: 公開されているイメージデータが少ない理由 • 法的リスクから再配布が難しいデータが含まれがち • 特にディスクイメージはOSそのものの再配布になりかねない • 解析対象のデータサイズが大きくなりがち •
ディスクもメモリともに圧縮しても数GB程度は下らない • 解析に耐えうるデータの生成が難しい • インシデント発生を模したデータを作るのは重労働 • 需要と供給 • あまり必要とされていないのかも
34 おまけ: こんな感じの出題形式がありました https://cci.calpoly.edu/2019-digital-forensics-downloads
35 データは無理でも 設問だけなら作れるのでは
36 おまけ: 楽しいかも
37 まとめ • フォレンジックってどこで遊べばいいの? • “Digital Forensics Testing Images” •
学習向けフォレンジックデータはここにある • DEFCON DFIR CTF もある • 解析して設問を作るのも楽しいかも • GoogleDocs の入力規則を活用したヒント表示 他に「こんなのあるよ」など教えてもらえると嬉しいです
38 Thank you! Questions? @soji256 https://medium.com/@soji256 https://soji256.hatenablog.jp
39 参考文献(1/2) <フォレンジック向け> • The CFReDS Project: Hacking Case •
https://www.cfreds.nist.gov/Hacking_Case.html • Technical — ENISA: Forensic analysis: Local Incident Response • https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational • Test Images and Challenges • https://dfir.training/resources/downloads/ctf-forensic-test-images • 2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo • https://cci.calpoly.edu/2019-digital-forensics-downloads • Digital Corpora • https://digitalcorpora.org • 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 • http://sectanlab.sakura.ne.jp/sendaictf/fyi.html • Defcon DFIR CTF 2019 • https://defcon2019.ctfd.io • SANSからの練習問題を試す プロセスの確認 - @port139 Blog • http://port139.hatenablog.com/entry/2014/02/23/214759 • SANS Digital Forensics and Incident Response Blog | APT Memory and Malware Challenge Solution • https://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-malware-analysis-solution
40 参考文献(2/2) <ペネトレ向け> • Hack The Box :: Penetration Testing
Labs • https://www.hackthebox.eu • Vulnerable By Design ~ VulnHub • https://www.vulnhub.com <マルウェア解析向け> • Malware-Traffic-Analysis.net • https://www.malware-traffic-analysis[.]net • VirusTotal • https://www.virustotal.com • ANY.RUN - Interactive Online Malware Sandbox • https://any.run 発表会 : DFIR LT大会 発表者 : soji256 発表日 : 2019/08/13 公開日 : 2019/08/15 版数 : 1.0 (初版)
soji256
meihei3
sansan33
shinoyu
tarappo
po3rin
fumisuke
yp_genzitsu
yoku0825
aakira
skrb
soudai
sergicalsix
thoeni
panda_program
eitanlees
lara
3n
maltzj
wjessup
erikaheidi
honnibal
sergeychernyshev
62gerente
smashingmag
