Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Fast forensics(公開用)

721 views

Published on

コンピュータ・フォレンジックス
Fast Forensics
ファストフォレンジック
フォレンジック
フォレンジックス
kasasagi
Forensics
デジタル・フォレンジック
デジタルフォレンジック
デジタルフォレンジックス

Published in: Technology
  • Be the first to comment

Fast forensics(公開用)

  1. 1. Fast Forensicsについて (サイバー寄りの技術を不正調査にも使うことを考える) Kasasagi
  2. 2. 目次 • Fast Forensicsとは • Fast Forensicsの特徴 • Fast Forensics(保全) • Fast Forensics(解析) • Demo
  3. 3. Fast Forensicsとは 一言で言うと: 一部の重要なOSアーティファクトのみを取得(解析)することによって、 短時間で行うPC Forensics調査技法のこと。 主にサイバーセキュリティの分野で活用される。 背景: PC内のデータや、調査対象機器の増大に伴い、全ての端末を保全す ることが困難な場面が増加してきたことにより発達してきた。 参考: http://digitalforensic.jp/wp-content/uploads/2014/06/66396c87002dedfdb1d230e7db8f891a.pdf ※今回私が話すFast Forensicsの中身の一部は杉山さんの意図するものと少しずれているかもしれません。今日の主旨的に、サイバー寄りの フォレンジック技法を知って、不正調査でもっと活用できないか考えようという意図があるからです。
  4. 4. Fast Forensicsの特徴 利点: ・保全時間が短縮できるので、調査対象を増やせる。 ・ついでに保全用に用意するディスクが少なく済む。 注意点: ・証拠保全の観点から言うと不十分かもしれない →調査結果を裁判で証拠として使用できるかわからない ・ファイル、メールの中身は基本的に見れない(ものによってはメモリから掘れるかもしれないけど) 意見: 案件の種類や、用途、調査に使える時間を考慮して、どのようにFast Forensicを使用するかを考える必 要がある。 →一部のファイルだけ取得して調査する? →保全後に調査に必要なファイルだけ個別にさっさと調査する? →→許されるなら保全前に一部のファイルだけ先に取得して、保全中にタイムライン解析して、 実データは保全後に調査するのが良いのでは?
  5. 5. Fast Forensics(保全) ツール:CDIR➕α(メモリ取得はDumpItの新しいVer.がおすすめ) 参考:https://www.cyberdefense.jp/products/cdir.html 取得できる項目: ■メモリ ■MFT ■UsnJrnl ■プリフェッチ ■イベントログ ■レジストリ 自分の欲しいもの (メールとかWEB閲覧履歴)を取れば良い ファイルの中身以外はフォレンジックで普 段調査することは大体わかる これをディスク保全の前(もしくは代わり) に取得する(赤枠内の取得には5分ほど)
  6. 6. Fast Forensics(保全:+@の部分) 自分が何を調査したいか そのログはどの ファイルに記録 されているか そのファイルを 取得する Web閲覧履歴を調査した い WebCache V*.log とかhistory.dbと か そのファイルを 取得する 自分の欲しいもの(ファイル)がわからない? BrowserHistory Captureや!
  7. 7. Fast Forensics(解析) MFT •ファイルシステム上に存在するすべてのファイルのエントリを管理するファイル(一部削除含むファイルのメタ情報) UsnJrnl •OSのジャーナルログ(直近の詳細なアクティビティログ。ファイルの削除もわかる) プリフェッチ(.pf) •高速化の為によく使うプログラムの情報を保持したファイル(プログラム実行履歴) イベントログ •OS上で発生した定義されたイベントを記録(shutdownやログオンなど) レジストリ •OS上の設定を記録したデータベース(OS上の各種設定やログ等) 解析対象アーティファクトの一例(カッコ内はわかること)
  8. 8. Fast Forensics(解析) 先ほどのアーティファクトはplasoで解析可能 (windowsは安定性が低い気がするのでCAINE推奨) 参考: http://www.atmarkit.co.jp/ait/articles/1609/30/news005_3.html 更に、ElasticSearchやsplunk,timesketchなどで可視化も可能 参考: http://www.kazamiya.net/elasticsearch_kibana_plaso http://port139.hatenablog.com/entry/2014/06/02/141718 https://www.youtube.com/watch?v=xe0qJriD7aM ※大量保全用のfast Forensicsは今日はスコープ外。 だけど、リモートから各端末にエージェントを送ってデータ吸い上げる系も大きなテーマ。
  9. 9. デモ1 CDIRによる保全→plaso→splunk CDIRで保全 plasoでパース psortで絞り込 みや形式変換 splunkで可視 化/解析
  10. 10. plaso→splunkで何ができる?(簡単なものだけ) ・統計データの可視化 ・わがまま検索
  11. 11. plaso→splunkで何ができる?(簡単なものだけ) 統計データの可視化 これが0だったら、 その日はパソコン触ってないってこと 「FILE」をクリックすれば、ファイル操作 に関するアクティビティーのみ閲覧可能
  12. 12. plaso→splunkで何ができる?(簡単なものだけ) 統計データの可視化 ・特定のメール関連ファイルの拡張子やフォルダ名を表示しておくようにすれば、Loose files(メーラからドラ ック&ドロップでローカルに落としたアーカイブファイルとは別の個別のメールファイルなど)や何のメーラが 使われているかもわかる。(無拡張子メールファイル用に特定のフォルダの存在を表示するみたいなこともで きる)→EnCaseのMail Condition的なものも自分でデザインできる。 ・あと、Web閲覧履歴の中の「gmail」という文字列があったら自動表示とか。 ・拡張子別にファイルがどのくらいあるか表示。→FTKのExplorer表示みたいなものを自分でデザインできる
  13. 13. わがまま検索 ファイル作成に関するアクティビティのみ のタイムラインを検索して可視化。 もちろん、日別の結果をクリックすれば、 その日のファイル作成アクティビティのみ 閲覧できる。 plaso→splunkで何ができる?(簡単なものだけ)
  14. 14. 後はDemo only

×