[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
•
3 likes•2,132 views
オープンソース・デジタルフォレンジックツール Autopsy は、感染の危険を冒さすことなく、ノートブックパソコンのディスクを迅速にスキャンし、マルウェアやその他の疑わしいプログラムの検索を実現。さらに、ディスクの内容を細かく調査し、システム情報およびユーザーのアクティビティの詳細を取得することが可能である。このように、Cyber Security における Autopsy の活用について説明する。
More Related Content
What's hot
What's hot (20)
Similar to [CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
Similar to [CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功 (15)
More from CODE BLUE
More from CODE BLUE (20)
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
- 1. ベイシス・テクノロジー株式会社 / Autopsy 本社:米国ボストン (支社:東京、ワシントンDC、ロンドン、テルアビブ) 全社員数:~100人 Cyber Forensic 部門:16人 https://www.basistech.jp
- 5. Autopsy: 新しいケースの作成 ● 「新規ケースを作成」を選びます ○ ケース名を入力、 次 へ ■ 記述的 であることを確認 ■ Base Directory が設定されていない場合は入力 ○ Case Number (ケース番号)を入力 ■ 番号は体系的かつ独自のものにする必要があります ○ 調査担当を入力し、Phone、Email、Notesを入力、終了 ■ Creating Caseの終了を待つ ● 初回のみ、データソース追加 画面を終了します ディスク空き容量が十分にあ るかご確認ください。 ケース番号とファイル名の ルールを決めてください。
- 7. Autopsyの操作 : データ ソースの追加 ● Hash Database (NIST-NSRL) の追加 ○ Hash-files (ホワイト・リスト)をダウンロードします ■ https://sourceforge.net/projects/autopsy/files/NSRL/ ■ ファイルを解凍 ○ ツール>オプション>ハッシュデータベース ■ 「データベースをインポート」を選択して上記の解凍したファイルを追加 ○ ブラック・リストをダウンロード ■ https://sourceforge.net/projects/mantarayforensics/files/VirusShare_Hash_Sets/Autopsy/ ○ オプションで新たな検索パターンを追加するには ■ キーワード検索>New List で新規キーワードリスト名を入力 ■ New Keywordをクリックしてキーワードを入力 ○ オプションパネルを閉じる。 ● 「データソースを追加」を選択 ○ 追加する Data Source を選択 = イメージファイル 次>をクリック ○ 作成・保存したイメージを参照 次>をクリック ○ インジェスト・モジュールに対して [全て選択] をクリック ■ モジュールによってはオプションを設定 ○ 次>実行 ■ インジェスト処理がバックグラウンドで実行されます
- 9. インジェスト モジュール群 モジュールによっては オプションの選択が可能 選択したモジュールが同時に実行される インジェスト処理はバック グラウンドで実行される
- 10. マルチユーザーとベース・ディレクトリーについて マルチユーザー: ● ケースは、複数のユーザーで同時に開けます ● ただし、データベースおよびストレージのセンター管理が必 要 Autopsy には ベース・ディレクトリという概念があります。 ● Autopsy.db: SQLiteデータベース。 基本的なケース情報と データソース情報を保存 ● Export : エクスポートファイルを保存するフォルダー ● Reports : レポートを保存するフォルダー ● ModuleOutput : インジェスト モジュールの出力フォルダー ● Log : デバッグ用 ケースの基本情報
- 11. Autopsy メイン画面 : 正常なファイル
- 13. Autopsy の使い方 : データの表示 ■ ファイルの種類別に並び替え ■ 様々なファイル ビューアー ■ 消去済みファイルの表示が可能 ■ ファイルタイプが間違っていないかを確認可能 ■ 削除済みファイルが入ったフォルダには ❌ を表示 ■ Autopsy で作成されたバーチャル・ファイルが入ったフォルダに は V を表示 ■ $CarvedFiles には、割り当てられていない領域で見つかった写 真ファイルが含まれます ファイル拡張子タイプの確認方法 :https://www.reviversoft.com/file-extensions/
- 14. Autopsy で検索可能なファイル 日付、時間、 許可 削除されたファイル (リンク切れ) オーファン (孤立) ファイル 削除されたファイル(名前なし) 通常のファイル 割当済 割当済 割当済 未割当 未割当 未割当 未割当 未割当 未割当
- 15. ファイルの復元 (カービング) ● オーファン(孤立)ファイルの検索には時間がかかります。すべてのクラスタを読み取って分析 するためです(無効にしておくことも可能です) ● カービングは、ファイルシステムの知識ではなく、ファイル構造を使って削除ファイルを復元し ます ○ Jpeg, pdf, doc, exe, ….. ○ ファイル名も無くデータへのリンクが切れた状態に適用 削除前 削除後 ブロック ブロック メタデータ メタデータ (未割当) (未割当)
- 17. 画像・動画の表示 パネル
- 18. コミュニケーション パネル
- 19. コミュニケーション: 可視化
- 20. タイムライン パネル
- 21. タイムライン機能の詳細
- 22. 廃棄されていたノートパソコンにハッキングの証拠がないかを解析 Autopsyを使って情報を探し出す: ● システム情報 ● ユーザー名 ● IP アドレス ● 所有者名 ● など 廃棄されていたノートパソコンの解析
- 23. ノートパソコンの使用履歴の確認 利用開始日 : 2004/8/19 最終利用日: 2004/8/20
- 25. 廃棄されていたノートパソコンの解析 パソコンのアカウント名: N-1A9ODN6ZXK4LQ OS: Windows XP 所有者名: Greg Schardt
- 26. 所有者名で検索: Greg Shardt Greg Shardt と Mr. Evil は同一人物 C:Program FilesLook@LANirunin.ini
- 28. irunin.ini で “LAN” を検索 ユーザー名 IP アドレス MAC アドレス
- 29. SMTPUserName を検索
- 30. インターネットのチャット履歴 (mIRC : Internet Relay Chat)
- 32. IRC chat session (net.log)
- 33. 監視ツール Etherial
- 34. ハッキングの証拠 UA-OS: Windows CE (Pocket PC) - Version 4.20 UA-color: color16 UA-pixels: 240x320 UA-CPU: Intel(R) PXA255 UA-Voice: FALSE Referer: http://mobile.msn.com/hm/folder.aspx?ts=1093601294&fts=1093566459&folder=ACTIVE&msg=0 UA-Language: JavaScript Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Windows CE; PPC; 240x320) Host: mobile.msn.com
- 35. ● タグ付けとは? ○ ファイルやオブジェクトにリファレンスを追加し、後で探しやすくする機能 ● ブックマーク機能 ○ ファイルにコメントを残しておけます ● なぜ使うの? ○ 後でフォローアップすべきファイルを見つけやすくするため ○ 「悪い」ファイルを特定し、報告するため ○ タグ付けされた内容を纏めてレポートに出来る ファイルのタグ付け
- 36. ファイルのタグ付け ● タグ名を任意で作成可能 ○ “Bookmark”,Bad,Suspicious ● Autopsy は過去のケースから名前を記憶 ● ファイルを右クリックして作成 ○ Quick Tag ではコメントが入力できません ● 重要なキーワードの場合、キーワードの検索 結果にタグ付け (キーワードが何処で出現す るかが興味深いので) ● キーワード検索で見つかったファイルが興味 深く、キーワード自体が重要で無い場合は、 ファイルをタグを付け
- 37. ● 他のユーザーと共有可能 ● 様々なレポート出力形式が選択可能 ● 全ての結果またはタグ付きの結果を出力 レポートを生成