Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功

982 views

Published on

オープンソース・デジタルフォレンジックツール Autopsy は、感染の危険を冒さすことなく、ノートブックパソコンのディスクを迅速にスキャンし、マルウェアやその他の疑わしいプログラムの検索を実現。さらに、ディスクの内容を細かく調査し、システム情報およびユーザーのアクティビティの詳細を取得することが可能である。このように、Cyber Security における Autopsy の活用について説明する。

  • Login to see the comments

[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功

  1. 1. ベイシス・テクノロジー株式会社 / Autopsy 
 
 本社:米国ボストン
 (支社:東京、ワシントンDC、ロンドン、テルアビブ) 
 全社員数:~100人
 Cyber Forensic 部門:16人 
 https://www.basistech.jp
  2. 2. サイバーセキュリティ対策 ファイアウォール アンチウィルス インシデント・リスポンス アナリシス Autopsy 今日のお話
  3. 3. Autopsy のインストール
 https://www.basistech.jp/solutions/autopsy/#ダウンロード 
 http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/
  4. 4. Autopsy ツアー画面 

  5. 5. Autopsy: 新しいケースの作成
 ● 「新規ケースを作成」を選びます
 ○ ケース名を入力、 次 へ
 ■ 記述的 であることを確認
 ■ Base Directory が設定されていない場合は入力
 ○ Case Number (ケース番号)を入力
 ■ 番号は体系的かつ独自のものにする必要があります
 ○ 調査担当を入力し、Phone、Email、Notesを入力、終了
 ■ Creating Caseの終了を待つ
 ● 初回のみ、データソース追加 画面を終了します
 
 ディスク空き容量が十分にあ るかご確認ください。 
 ケース番号とファイル名の ルールを決めてください。 

  6. 6. Autopsy : ケースの作成

  7. 7. Autopsyの操作 : データ ソースの追加
 ● Hash Database (NIST-NSRL) の追加 
 ○ Hash-files (ホワイト・リスト)をダウンロードします 
 ■ https://sourceforge.net/projects/autopsy/files/NSRL/ 
 ■ ファイルを解凍
 ○ ツール>オプション>ハッシュデータベース 
 ■ 「データベースをインポート」を選択して上記の解凍したファイルを追加 
 ○ ブラック・リストをダウンロード 
 ■ https://sourceforge.net/projects/mantarayforensics/files/VirusShare_Hash_Sets/Autopsy/
 ○ オプションで新たな検索パターンを追加するには 
 ■ キーワード検索>New List で新規キーワードリスト名を入力 
 ■ New Keywordをクリックしてキーワードを入力 
 ○ オプションパネルを閉じる。 
 
 ●  「データソースを追加」を選択 
 ○ 追加する Data Source を選択 = イメージファイル 次>をクリック 
 ○ 作成・保存したイメージを参照  次>をクリック 
 ○ インジェスト・モジュールに対して [全て選択] をクリック 
 ■ モジュールによってはオプションを設定 
 ○ 次>実行
 ■ インジェスト処理がバックグラウンドで実行されます 

  8. 8. Autopsy: データソースを追加

  9. 9. インジェスト モジュール群 
 モジュールによっては 
 オプションの選択が可能 
 選択したモジュールが同時に実行される 
 インジェスト処理はバック 
 グラウンドで実行される 

  10. 10. マルチユーザーとベース・ディレクトリーについて
 マルチユーザー:
 ● ケースは、複数のユーザーで同時に開けます 
 ● ただし、データベースおよびストレージのセンター管理が必 要
 
 Autopsy には ベース・ディレクトリという概念があります。 
 ● Autopsy.db: SQLiteデータベース。 基本的なケース情報と データソース情報を保存 
 ● Export : エクスポートファイルを保存するフォルダー 
 ● Reports : レポートを保存するフォルダー 
 ● ModuleOutput : インジェスト モジュールの出力フォルダー 
 ● Log : デバッグ用
 
 ケースの基本情報

  11. 11. Autopsy メイン画面 : 正常なファイル

  12. 12. マルウェア検出結果 (データ提供:https://www.nist.gov)
  13. 13. Autopsy の使い方 : データの表示
 ■ ファイルの種類別に並び替え
 ■ 様々なファイル ビューアー
 ■ 消去済みファイルの表示が可能
 ■ ファイルタイプが間違っていないかを確認可能
 ■ 削除済みファイルが入ったフォルダには ❌ を表示
 ■ Autopsy で作成されたバーチャル・ファイルが入ったフォルダに は V を表示
 ■ $CarvedFiles には、割り当てられていない領域で見つかった写 真ファイルが含まれます
 
 ファイル拡張子タイプの確認方法 :https://www.reviversoft.com/file-extensions/ 

  14. 14. Autopsy で検索可能なファイル
 日付、時間、  許可 削除されたファイル
 (リンク切れ) 
 オーファン (孤立) ファイル 
 削除されたファイル(名前なし) 
 通常のファイル 
 割当済
 割当済
 割当済
 未割当
 未割当
 未割当
 未割当
 未割当
 未割当

  15. 15. ファイルの復元 (カービング) 
 ● オーファン(孤立)ファイルの検索には時間がかかります。すべてのクラスタを読み取って分析 するためです(無効にしておくことも可能です)
 ● カービングは、ファイルシステムの知識ではなく、ファイル構造を使って削除ファイルを復元し ます
 ○ Jpeg, pdf, doc, exe, …..
 ○ ファイル名も無くデータへのリンクが切れた状態に適用
 削除前
 削除後
 ブロック
 ブロック
   メタデータ 
 メタデータ (未割当) 
  (未割当)

  16. 16. ファイルの復元 (カービング)
 各々の未割当ブロックをスキャンすることで、ファイルタイプ の起点を発見:
 発見された場合は、そのファイル タイプのフッターをスキャン :
 JPEGヘッダーの 起点
 JPEGヘッダーの 起点
 JPEGフッターの終 点

  17. 17. 画像・動画の表示 パネル

  18. 18. コミュニケーション パネル 

  19. 19. コミュニケーション: 可視化

  20. 20. タイムライン パネル

  21. 21. タイムライン機能の詳細 

  22. 22. 廃棄されていたノートパソコンにハッキングの証拠がないかを解析
 
 Autopsyを使って情報を探し出す:
 ● システム情報
 ● ユーザー名
 ● IP アドレス
 ● 所有者名
 ● など
 廃棄されていたノートパソコンの解析

  23. 23. ノートパソコンの使用履歴の確認
 利用開始日 : 2004/8/19 
 最終利用日: 2004/8/20 

  24. 24. 「最近開いたドキュメント」から最終使用日時を調べる

  25. 25. 廃棄されていたノートパソコンの解析
 パソコンのアカウント名: 
 N-1A9ODN6ZXK4LQ 
 OS: Windows XP
 所有者名: Greg Schardt 

  26. 26. 所有者名で検索: Greg Shardt
 Greg Shardt と Mr. Evil は同一人物 
 C:Program FilesLook@LANirunin.ini 

  27. 27. ユーザ名で検索して履歴を調べる
 ユーザ名で検索
 結果をCSVで出力

  28. 28. irunin.ini で “LAN” を検索
 ユーザー名
 IP アドレス
 MAC アドレス

  29. 29. SMTPUserName を検索

  30. 30. インターネットのチャット履歴 (mIRC : Internet Relay Chat)

  31. 31. ファイル検索
 データソースを
 右クリック

  32. 32. IRC chat session (net.log)

  33. 33. 監視ツール Etherial 

  34. 34. ハッキングの証拠
 UA-OS: Windows CE (Pocket PC) - Version 4.20
 UA-color: color16
 UA-pixels: 240x320
 UA-CPU: Intel(R) PXA255
 UA-Voice: FALSE
 Referer: http://mobile.msn.com/hm/folder.aspx?ts=1093601294&fts=1093566459&folder=ACTIVE&msg=0
 UA-Language: JavaScript
 Accept-Encoding: gzip, deflate
 User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Windows CE; PPC; 240x320)
 Host: mobile.msn.com
 

  35. 35. ● タグ付けとは?
 ○ ファイルやオブジェクトにリファレンスを追加し、後で探しやすくする機能 
 ● ブックマーク機能
 ○ ファイルにコメントを残しておけます 
 ● なぜ使うの?
 ○ 後でフォローアップすべきファイルを見つけやすくするため 
 ○ 「悪い」ファイルを特定し、報告するため 
 ○ タグ付けされた内容を纏めてレポートに出来る 
 
 ファイルのタグ付け

  36. 36. ファイルのタグ付け
 ● タグ名を任意で作成可能 
 ○ “Bookmark”,Bad,Suspicious 
 ● Autopsy は過去のケースから名前を記憶 
 ● ファイルを右クリックして作成 
 ○ Quick Tag ではコメントが入力できません 
 
 ● 重要なキーワードの場合、キーワードの検索 結果にタグ付け (キーワードが何処で出現す るかが興味深いので) 
 ● キーワード検索で見つかったファイルが興味 深く、キーワード自体が重要で無い場合は、 ファイルをタグを付け 

  37. 37. ● 他のユーザーと共有可能
 ● 様々なレポート出力形式が選択可能
 ● 全ての結果またはタグ付きの結果を出力
 レポートを生成

  38. 38. 
 
 お問い合わせ: 
 
 ベイシス・テクノロジー株式会社
 ✉:info@basistech.jp ☎:03-3511-2947
 
 
 
 
 ありがとうございました

×